Let’s Encrypt este o autoritate de certificare populară, gratuită și cu sursă deschisă, administrată de Internet Research Security Group (ISRG), cu peste un miliard de certificate emise pentru site-uri web din întreaga lume. Deși nimeni nu neagă contribuția enormă a companiei la adoptarea HTTPS în întreaga lume, din păcate, certificatele Let’s Encrypt nu sunt imune la erori sau la exploatări malițioase. Cel mai recent eșec a venit atunci când peste trei milioane de certificate au fost afectate de un bug și au trebuit să fie revocate.
Vinovatul este codul care verifică un CCA (Certificate Authority Authorization) ori de câte ori un utilizator își reînnoiește certificatele SSL pentru a se asigura că proprietarul domeniului nu a impus restricții cu privire la cine poate reînnoi. Ca urmare, proprietarii mai multor domenii au fost expuși unor potențiale atacuri cibernetice din cauza verificărilor automate ale Lets Encrypt, care scanau doar un singur domeniu și le omiteau pe celelalte.
Inițial, Let’s Encrypt a anunțat că va revoca aproximativ trei milioane de certificate pentru a se conforma regulilor din industrie; cu toate acestea, într-o întoarcere rapidă, compania a decis să lase active peste 1 milion de certificate SSL. Iată ce a avut de spus directorul executiv al IRSG pe această temă:
“Din nefericire, credem că este probabil ca peste 1 milion de certificate să nu fie înlocuite înainte de expirarea termenului de conformitate pentru revocare. Decât să stricăm potențial atât de multe site-uri și să provocăm îngrijorare pentru vizitatorii acestora, am stabilit că este în interesul sănătății internetului să nu revocăm aceste certificate până la termenul limită.”
El a continuat să asigure că certificatele potențial ne-revocate vor expira în curând.
“Let’s Encrypt oferă doar certificate cu o durată de viață de 90 de zile, astfel încât certificatele potențial afectate pe care nu le putem revoca vor părăsi ecosistemul relativ repede. Plănuim să revocăm mai multe certificate pe măsură ce devenim încrezători că acest lucru nu va perturba inutil utilizatorii web.”
Bug-ul Let’s Encrypt, deși nu a fost un dezastru, evidențiază fragilitatea certificatelor gratuite de validare a domeniului și importanța unei gestionări eficiente și de bună reputație a certificatelor SSL. Atunci când sunt în joc sute sau mii de certificate, actualizarea manuală a acestora nu este pur și simplu o opțiune. Autoritățile de certificare ar trebui să asigure un proces de autorizare și validare de încredere, în timp ce companiile trebuie să investească în instrumente care să automatizeze emiterea și gestionarea certificatelor SSL.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10
