A Let’s Encrypt é uma autoridade de certificação popular, gratuita e de código aberto, administrada pelo Internet Research Security Group (ISRG), com mais de um bilhão de certificados emitidos para sites em todo o mundo. Embora ninguém negue a enorme contribuição da empresa para a adoção do HTTPS na Web, infelizmente, os certificados da Let’s Encrypt não estão imunes a bugs ou à exploração mal-intencionada. O último revés ocorreu quando mais de três milhões de certificados foram afetados por um bug e tiveram que ser revogados.
O culpado é o código que verifica a existência de uma CCA (Autorização de Autoridade de Certificação) sempre que um usuário renova seus certificados SSL para garantir que o proprietário do domínio não impôs nenhuma restrição a quem pode renovar. Como resultado, os proprietários de vários domínios foram expostos a possíveis ataques cibernéticos devido ao fato de as verificações automáticas do Lets Encrypt verificarem apenas um domínio e ignorarem os outros.
Inicialmente, a Let’s Encrypt anunciou que estará revogando cerca de três milhões de certificados para cumprir as regras do setor; no entanto, em uma rápida reviravolta, a empresa decidiu deixar mais de 1 milhão de certificados SSL ativos. Veja a seguir o que o diretor executivo do IRSG tem a dizer sobre o assunto:
“Infelizmente, acreditamos que é provável que mais de 1 milhão de certificados não sejam substituídos antes do fim do prazo de conformidade para revogação. Em vez de quebrar potencialmente tantos sites e causar preocupação aos seus visitantes, determinamos que é do interesse da saúde da Internet não revogar esses certificados dentro do prazo.”
Ele continuou assegurando que os certificados potencialmente não revogados expirarão em breve
.
“A Let’s Encrypt oferece apenas certificados com vida útil de 90 dias, portanto, os certificados potencialmente afetados que não revogarmos deixarão o ecossistema com relativa rapidez. Planejamos revogar mais certificados à medida que tivermos certeza de que isso não causará transtornos desnecessários aos usuários da Web.”
O bug do Let’s Encrypt, embora não seja um desastre, destaca a fragilidade dos certificados de validação de domínio gratuitos e a importância de um gerenciamento de certificados SSL eficiente e respeitável. Quando centenas ou milhares de certificados estão em jogo, atualizá-los manualmente simplesmente não é uma opção. As autoridades de certificação devem garantir um processo confiável de autorização e validação, enquanto as empresas devem investir em ferramentas que automatizem a emissão e o gerenciamento de certificados SSL.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
