Let’s Encrypt è una popolare autorità di certificazione gratuita e open-source gestita da Internet Research Security Group (ISRG) con oltre un miliardo di certificati rilasciati a siti web in tutto il mondo. Sebbene nessuno neghi l’enorme contributo dell’azienda all’adozione dell’HTTPS in tutto il web, purtroppo i certificati di Let’s Encrypt non sono immuni da bug o sfruttamenti malevoli. L’ultima battuta d’arresto è arrivata quando più di tre milioni di certificati sono stati colpiti da un bug e hanno dovuto essere revocati.

Il colpevole è il codice che verifica la presenza di un CCA (Certificate Authority Authorization) ogni volta che un utente rinnova il proprio certificato SSL per assicurarsi che il proprietario del dominio non abbia imposto restrizioni su chi può rinnovarlo. Di conseguenza, i proprietari di più domini sono stati esposti a potenziali attacchi informatici a causa dei controlli automatici di Let’s Encrypt che analizzano solo un dominio e saltano gli altri.
Inizialmente Let’s Encrypt ha annunciato che che avrebbe revocato circa 3 milioni di certificati per conformarsi alle regole del settore; tuttavia, con una rapida inversione di rotta, l’azienda ha deciso di lasciare attivi più di 1 milione di certificati SSL. Ecco cosa ha detto il direttore esecutivo dell’IRSG sulla questione:
“Sfortunatamente, riteniamo probabile che più di 1 milione di certificati non saranno sostituiti prima della scadenza del termine per la revoca. Piuttosto che interrompere potenzialmente un numero così elevato di siti e causare preoccupazioni ai loro visitatori, abbiamo deciso che è nell’interesse della salute di Internet non revocare questi certificati entro la scadenza”.
Ha poi assicurato che i certificati potenzialmente non revocati scadranno presto.
“Let’s Encrypt offre solo certificati con una durata di 90 giorni, quindi i certificati potenzialmente interessati che non possiamo revocare lasceranno l’ecosistema in tempi relativamente brevi. Abbiamo in programma di revocare altri certificati non appena saremo certi che ciò non comporterà inutili disagi per gli utenti del web”.
Il bug di Let’s Encrypt, pur non essendo un disastro, mette in evidenza la fragilità dei certificati gratuiti di convalida del dominio e l’importanza di una gestione efficiente e affidabile dei certificati SSL. Quando sono in gioco centinaia o migliaia di certificati, non è possibile aggiornarli manualmente. Le autorità di certificazione devono garantire un processo di autorizzazione e convalida affidabile, mentre le aziende devono investire in strumenti che automatizzino l’emissione e la gestione dei certificati SSL.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10



