Let's Encrypt révoquera plus de 3 millions de certificats le mercredi 4 mars, en raison d'un bug dans leur logiciel de validation et d'émission de domaines.
Un bug dans le logiciel de l'autorité de certification (CA) de Let's Encrypt a fait que certains certificats n'ont pas été correctement validés par l'autorisation de l'autorité de certification (CAA) configurée pour un domaine associé.
La CAA est une fonction de sécurité qui permet aux administrateurs de domaine de créer un enregistrement DNS qui restreint les autorités de certification autorisées à émettre des certificats pour ce domaine particulier.
Dans le cadre des règles relatives à cette caractéristique, les autorités doivent vérifier les dossiers de la CAA au maximum 8 heures avant la délivrance d'un certificat.
Un bug dans leur logiciel de CA, appelé Boulder, a fait qu'un domaine sur un certificat multi-domaine a été vérifié plusieurs fois au lieu que tous les domaines sur le certificat soient vérifiés une fois. De ce fait, des certificats ont été délivrés sans que les contrôles CAA appropriés soient effectués pour certains domaines.
"Le bug : lorsqu'une demande de certificat contenait N noms de domaines nécessitant une nouvelle vérification CAA, Boulder choisissait un nom de domaine et le vérifiait N fois. Cela signifie en pratique que si un abonné validait un nom de domaine au moment X, et que les enregistrements de la CAA pour ce domaine au moment X permettaient l'émission de Let's Encrypt, cet abonné pourrait émettre un certificat contenant ce nom de domaine jusqu'à X+30 jours, même si quelqu'un installait plus tard des enregistrements de la CAA sur ce nom de domaine qui interdisent l'émission par Let's Encrypt", explique le rapport d'incident de Let's Encrypt.
Pour vérifier si votre domaine est affecté par ce bogue et doit être renouvelé, vous pouvez utiliser l'outil à l'adresse https://checkhost.unboundtest.com/.
