Let's Encrypt trekt 3 miljoen certificaten in wegens softwarebug
Certificaatautoriteit Let's Encrypt gaat morgen vanwege een fout bij het uitgeven van TLS-certificaten meer dan 3 miljoen certificaten intrekken. Dat heeft de organisatie bekendgemaakt. De software van Let's Encrypt bevatte een fout bij het controleren van Certification Authority Authorization (CAA) records.
In deze records staat welke certificaatautoriteit een certificaat voor een domein mag uitgeven. Op deze manier kan de domeineigenaar aangeven van welke certificaatautoriteit of autoriteiten hij voor zijn domein gebruik wil maken. Wanneer er geen CAA-record aanwezig is kan elke certificaatautoriteit voor het domein een certificaat uitgeven.
De software van Let's Encrypt controleert eventueel aanwezige CAA-records en kan die in sommige gevallen net voor de uitgifte van het certificaat voor een tweede keer controleren. Een bug zorgde ervoor dat als de software meerdere domeinen moest controleren, één domein meerdere keren werd gecontroleerd en de andere domeinen niet.
De bug werd op 29 februari van dit jaar ontdekt. Twee minuten na de ontdekking werd de uitgifte van certificaten gestopt. Twee uur later was er een oplossing uitgerold en konden er weer certificaten worden uitgegeven. Uit voorlopig onderzoek blijkt dat de bug vermoedelijk op 25 juli 2019 is geïntroduceerd. Als gevolg worden morgen 3 miljoen certificaten ingetrokken, waarvan ongeveer 1 miljoen dubbele van andere getroffen certificaten, die dezelfde set domeinnamen beslaan.
Vanwege de manier waarop de bug zich kon voordoen zijn voornamelijk certificaten getroffen die vaak opnieuw werden uitgegeven, wat verklaart waarom zoveel getroffen certificaten dubbele zijn. Gedupeerde gebruikers van wie Let's Encrypt een e-mailadres heeft zijn door de certificaatautoriteit ingelicht.
We recently discovered a bug in the Let's Encrypt certificate authority code,
described here:
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
Unfortunately, this means we need to revoke the certificates that were affected
by this bug, which includes one or more of your certificates. To avoid
disruption, you'll need to renew and replace your affected certificate(s) by
Wednesday, March 4, 2020. We sincerely apologize for the issue.
If you're not able to renew your certificate by March 4, the date we are
required to revoke these certificates, visitors to your site will see security
warnings until you do renew the certificate. Your ACME client documentation
should explain how to renew.
If you are using Certbot, the command to renew is:
certbot renew --force-renewal
If you need help, please visit our community support forum:
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
Please search thoroughly for a solution before you post a new question. Let's
Encrypt staff will help our community try to answer unresolved questions as
quickly as possible.
Your affected certificate(s), listed by serial number and domain names:
[root@zogto ~]# ./certbot-auto --domains 1 2 3
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Cert not yet due for renewal
You have an existing certificate that has exactly the same domains or certificate name you requested and isn't close to expiry.
(ref: /etc/letsencrypt/renewal/www.xxxnnnzzz.conf)
What would you like to do?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Attempt to reinstall this existing certificate
2: Renew & replace the cert (limit ~5 per 7 days)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for 1
http-01 challenge for 2
http-01 challenge for 3
Waiting for verification...
Challenge failed for domain 1
Challenge failed for domain 2
Challenge failed for domain 3
http-01 challenge for 1
http-01 challenge for 2
http-01 challenge for 3
Cleaning up challenges
Some challenges have failed.
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: 1
Type: connection
Detail: Fetching
Error getting validation data
Domain: 2
Type: connection
Detail:
Error getting validation data
Domain: 3
Type: connection
Detail:
Error getting validation data
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address. Additionally, please check that
your computer has a publicly routable IP address and that no
firewalls are preventing the server from communicating with the
client. If you're using the webroot plugin, you should also verify
that you are serving files from the webroot path you provided.
Nu is het echt stuk die rommel... meestal verkloot het mijn webserver door de config te veranderen.
https://checkhost.unboundtest.com
Dat komt, omdat je niet begrijpt hoe het werkt. De methode die je gebruikt is "auto". Daarmee geeft je certbot (dat is een losstaand programma, niet Lets encrypt!) toestemming om je vhost te wijzigen. Als je "certbot certonly -d 1 2 3" gebruikt, wordt alleen het certificaat vernieuwd.
(....)
Nu is het echt stuk die rommel... meestal verkloot het mijn webserver door de config te veranderen.
Dat komt, omdat je niet begrijpt hoe het werkt. De methode die je gebruikt is "auto". Daarmee geeft je certbot (dat is een losstaand programma, niet Lets encrypt!) toestemming om je vhost te wijzigen. Als je "certbot certonly -d 1 2 3" gebruikt, wordt alleen het certificaat vernieuwd.
Was dat maar waar. Nog altijd zal dat certbot ding op eigen houtje software downloaden en installeren op je systeem!
Het is gewoon een oncontroleerbare bom.
Dat komt, omdat je niet begrijpt hoe het werkt. De methode die je gebruikt is "auto". Daarmee geeft je certbot (dat is een losstaand programma, niet Lets encrypt!) toestemming om je vhost te wijzigen. Als je "certbot certonly -d 1 2 3" gebruikt, wordt alleen het certificaat vernieuwd.
Was dat maar waar. Nog altijd zal dat certbot ding op eigen houtje software downloaden en installeren op je systeem!
Het is gewoon een oncontroleerbare bom.
Dat komt, omdat je niet begrijpt hoe het werkt. De methode die je gebruikt is "auto". Daarmee geeft je certbot (dat is een losstaand programma, niet Lets encrypt!) toestemming om je vhost te wijzigen. Als je "certbot certonly -d 1 2 3" gebruikt, wordt alleen het certificaat vernieuwd.
Was dat maar waar. Nog altijd zal dat certbot ding op eigen houtje software downloaden en installeren op je systeem!
Het is gewoon een oncontroleerbare bom.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.