Let’s Encrypt anunció el sábado 29 de febrero que descubrió un error en su código de Autorización de Autoridad de Certificación (CAA). Algunos certificados fueron revocados.
Error de CAA
El software verifica los registros CAA al mismo tiempo que valida el control de un suscriptor de un nombre de dominio. Después de la validación, la mayoría de los suscriptores emiten un certificado inmediatamente, pero Let’s Encrypt considera que una validación es válida por 30 días. El error mantuvo abierto ese límite de tiempo y se podría emitir un certificado incluso si un registro de CAA lo prohíbe.
El error: cuando una solicitud de certificado contenía N nombres de dominio que necesitaban una nueva verificación de CAA, Boulder elegía un nombre de dominio y lo verificaba N veces. Lo que esto significa en la práctica es que si un suscriptor validaba un nombre de dominio en el momento X, y los registros de CAA para ese dominio en el momento X permitían la emisión de Let’s Encrypt, ese suscriptor podría emitir un certificado que contenga ese nombre de dominio hasta X + 30 días, incluso si alguien más tarde instaló registros CAA en ese nombre de dominio que prohíben la emisión por parte de Let’s Encrypt.
El error se solucionó el mismo día y Let’s Encrypt está realizando una investigación más exhaustiva. Se determinó que el error se introdujo en el sistema el 25 de julio de 2019.
Otras lecturas
[Coronavirus Causing Shortages of Key Apple Products]
[Atari’s Missile Command Heads to iOS This Spring]
