Let’s Encrypt es una autoridad de certificación gratuita, automatizada y abierta, la empresa ha comunicado que revocará a partir de hoy (4 de Marzo de 2020), un total de aproximadamente tres millones de certificados X509
, debido a un fallo de software a la hora de efectuar la emisión de certificados.
El problema esta relacionado con el software: Boulder, que implicaba un procesamiento inadecuado del registro CAA del dominio para el que se emitía el certificado. El fallo lo que permite es emitir certificados para un dominio durante 30 días incluso si el registro CAA prohibía que Let’s Encrypt emitiera dichos certificados. La empresa de autoridad de certificación argumenta que cree muy poco probable que un atacante haya podido explotar la vulnerabilidad, pero ha notificado a los sitios afectados su decisión de revocar los certificados.
La previsión de todo este problema es que tendría un impacto en 3 millones de los 116 millones certificados de tipo TLS que ha emitido la compañia.