Les certificats TLS gratuits de l'autorité de certification Let's Encrypt sont bien pratiques. Elaborés depuis 2014 par l'EFF avec le soutien notamment de Mozilla, ces certificats sont proposés gratuitement et permettent de profiter d'un chiffrement de données entre serveurs et applications connectées au web. Récemment, cet organisme indique avoir sécurisé près de 190 millions de sites web et délivrer plus d'un milliard de certificats. Malheureusement, la dernière actualité le concernant est moins réjouissante, Let's Encrypt ayant été contraint de révoquer plus de 3,04 millions de certificats TLS, soit 2,6% de l'ensemble des certificats Let's Encrypt s'élevant à près de 116 millions.

En cause, la découverte d'un bug dans le logiciel de validation et d'émission de domaine de l'autorité de certification le 29 février 2020. « Notre logiciel CA, Boulder, vérifie les enregistrements CAA en même temps qu'il valide le contrôle d'un abonné sur un nom de domaine. La plupart des abonnés émettent un certificat immédiatement après la validation du contrôle de domaine, mais nous considérons qu'une validation est valable pendant 30 jours. Cela signifie que dans certains cas, nous devons vérifier les enregistrements de la CAA une deuxième fois, juste avant leur émission. Plus précisément, nous devons vérifier la CAA dans les 8 heures avant l'émission donc tout nom de domaine qui a été validé il y a plus de 8 heures doit être revérifié », a indiqué Let's Encrypt.

Un outil en ligne pour vérifier si son certificat est révoqué

Et l'organisme de poursuivre : « Lorsqu'une demande de certificat contenait N noms de domaine nécessitant une nouvelle vérification CAA, Boulder choisissait un nom de domaine et le vérifiait N fois. En pratique, cela signifie que si un abonné a validé un nom de domaine au moment X et que les enregistrements CAA pour ce domaine au moment X ont permis l'émission Let's Encrypt, cet abonné pourrait émettre un certificat contenant ce nom de domaine jusqu'à X + 30. jours, même si quelqu'un a installé plus tard des enregistrements CAA sur ce nom de domaine qui interdisent la délivrance par Let's Encrypt », indique l'organisme.

D'après les premières investigations menées par Let's Encrypt, le bug remonte au 25 juillet 2019. Les premières révocations de certificats concernés par ce problème sont révoqués depuis 9h ce 4 mars (15h côte est des Etats-Unis). Un outil en ligne permet de s'assurer que son certificat est touché ou non par ce bug.