Let’s Encrypt est une autorité de certification populaire, gratuite et libre gérée par Internet Research Security Group (ISRG), qui a délivré plus d’un milliard de certificats à des sites web dans le monde entier. Si personne ne nie l’énorme contribution de l’entreprise à l’adoption du protocole HTTPS sur le Web, les certificats Let’s Encrypt ne sont malheureusement pas à l’abri des bogues ou des exploitations malveillantes. Le dernier revers en date est survenu lorsque plus de trois millions de certificats ont été affectés par un bogue et ont dû être révoqués.
Le coupable est le code qui vérifie la présence d’un CCA (Certificate Authority Authorization) chaque fois qu’un utilisateur renouvelle ses certificats SSL, afin de s’assurer que le propriétaire du domaine n’a pas imposé de restrictions sur les personnes autorisées à renouveler leur certificat. En conséquence, les propriétaires de plusieurs domaines ont été exposés à des cyberattaques potentielles parce que les contrôles automatiques de Lets Encrypt n’ont analysé qu’un seul domaine et ont ignoré les autres.
Dans un premier temps, Let’s Encrypt a annoncé que qu’il allait révoquer environ trois millions de certificats pour se conformer aux règles de l’industrie ; cependant, dans une volte-face rapide, l’entreprise a décidé de laisser plus d’un million de certificats SSL actifs. Voici ce que le directeur exécutif de l’IRSG a déclaré à ce sujet :
“Malheureusement, nous pensons qu’il est probable que plus d’un million de certificats ne seront pas remplacés avant la date limite de révocation. Plutôt que de risquer de briser tant de sites et d’inquiéter leurs visiteurs, nous avons décidé qu’il était dans le meilleur intérêt de la santé de l’internet de ne pas révoquer ces certificats avant la date limite”.
Il a ensuite assuré que les certificats potentiellement non révoqués expireraient bientôt
.
“Let’s Encrypt ne propose que des certificats d’une durée de vie de 90 jours, de sorte que les certificats potentiellement affectés que nous ne révoquerons pas quitteront l’écosystème assez rapidement. Nous prévoyons de révoquer davantage de certificats lorsque nous serons convaincus que cela ne perturbera pas inutilement les utilisateurs du web”.
Le bogue de Let’s Encrypt, sans être une catastrophe, met en évidence la fragilité des certificats de validation de domaine gratuits et l’importance d’une gestion efficace et réputée des certificats SSL. Lorsque des centaines ou des milliers de certificats sont en jeu, leur mise à jour manuelle n’est tout simplement pas envisageable. Les autorités de certification doivent garantir un processus d’autorisation et de validation fiable, tandis que les entreprises doivent investir dans des outils qui automatisent l’émission et la gestion des certificats SSL.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
