Let’s Encrypt es una autoridad de certificación popular, gratuita y de código abierto gestionada por Internet Research Security Group (ISRG) con más de mil millones de certificados emitidos a sitios web de todo el mundo. Aunque nadie niega la enorme contribución de la empresa a la adopción de HTTPS en toda la WEB, por desgracia, los certificados de Let’s Encrypt no son inmunes a los bugs ni a la explotación maliciosa. El último revés se produjo cuando más de tres millones de certificados se vieron afectados por un fallo y tuvieron que ser revocados.
El culpable es el código que comprueba una CCA (Autorización de Autoridad de Certificación) cada vez que un usuario renueva sus certificados SSL para asegurarse de que el propietario del dominio no ha impuesto ninguna restricción sobre quién puede renovar. Como resultado, los propietarios de múltiples dominios estaban expuestos a posibles ciberataques debido a que las comprobaciones automáticas de Lets Encrypt sólo escaneaban un dominio y se saltaban los demás.
Inicialmente, Let’s Encrypt anunció que que revocará alrededor de tres millones de certificados para cumplir las normas del sector; sin embargo, en un rápido giro de 180 grados, la empresa decidió dejar activos más de un millón de certificados SSL. Esto es lo que ha dicho el director ejecutivo del IRSG al respecto:
“Desgraciadamente, creemos que es probable que más de un millón de certificados no sean sustituidos antes de que se cumpla el plazo de revocación. En lugar de romper potencialmente tantos sitios y causar preocupación a sus visitantes, hemos determinado que lo mejor para la salud de Internet es que no revoquemos esos certificados antes de la fecha límite.”
Continuó asegurando que los certificados potencialmente no revocados expirarán pronto
.
“Let’s Encrypt solo ofrece certificados con una vida útil de 90 días, por lo que los certificados potencialmente afectados que no podamos revocar abandonarán el ecosistema con relativa rapidez. Tenemos previsto revocar más certificados a medida que tengamos la certeza de que hacerlo no supondrá un trastorno innecesario para los usuarios de la web.”
El fallo de Let’s Encrypt, aunque no es un desastre, pone de manifiesto la fragilidad de los certificados de validación de dominio gratuitos y la importancia de una gestión de certificados SSL eficaz y de confianza. Cuando están en juego cientos o miles de certificados, actualizarlos manualmente simplemente no es una opción. Las autoridades de certificación deben garantizar un proceso de autorización y validación fiable, mientras que las empresas deben invertir en herramientas que automaticen la emisión y gestión de certificados SSL.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
