Let’s Encrypt è un ottimo progetto – ne abbiamo ripetutamente parlato – perché ha messo nelle mani di tutti la possibilità di creare certificati digitali da utilizzare sul web in modo tale da attivare velocemente e a costo zero l’utilizzo del protocollo HTTPS: HTTPS, come ottenere un certificato digitale gratuito.
A dimostrazione del successo dell’iniziativa, nata sotto la spinta di Linux Foundation, Mozilla, Cisco, Akamai, EFF (Electronic Frontier Foundation), Google, Facebook, Internet Society e molti altri, a fine febbraio 2020 Let’s Encrypt ha festeggiato il rilascio di 1 miliardo di certificati digitali.
Peccato però che a distanza di qualche giorno arriva la notizia di un bug che ha indotto Let’s Encrypt alla revoca di circa 3 milioni di certificati già emessi.
Secondo quanto riferito, i certificati in questione non sono stati correttamente convalidati attraverso la cosiddetta Certificate Authority Authorization (CAA) configurata per il dominio associato. CAA è una funzione di sicurezza che permette agli amministratori di ciascun dominio di creare un record DNS che limita le autorità di certificazione autorizzate a rilasciare certificati per quel particolare dominio.
Le autorità di certificazione, Let’s Encrypt compresa, sono tenute controllare i record CAA al massimo 8 ore prima dell’emissione di un certificato digitale. A causa di un bug, Let’s Encrypt ha emesso circa 3 milioni di certificati senza operare gli appropriati controlli CAA per alcuni domini.
Let’s Encrypt sta provvedendo a inviare un’email agli utenti interessati dal problema: viene chiesto loro di rinnovare a strettissimo giro i certificati precedentemente generati al fine di evitarne la revoca automatica.
Se si utilizzassero certificati digitali emessi da Let’s Encrypt, il consiglio è quello di visitare questo sito web: inserendo il nome del dominio si può controllare se esso sia affetto o meno dalla problematica in questione.