Let’s Encrypt es un servicio gratuito muy popular de certificados TLS. Es muy utilizado por la industria lo que implica que es un fallo que puede afectar cientos de miles de sitios, actualmente LE lleva poco más de 3 millones de certificados revocados, esto se traduce en que los sitios a los cuales se les ha revocado el certificado sean catalogados como webs no seguras.
Este error podría abrir la puerta para que un atacante tome el control de un certificado TLS en un sitio web. Esto permitiría acceder al tráfico web y recopilar datos confidenciales.
Let’s Encrypt ha declarado:
El problema que descubrió LE es que, en lugar de verificar cada nombre de dominio por separado para los registros CAA válidos que autorizan que ese dominio sea renovado por ese servidor, Boulder verificaría uno de los dominios en ese servidor n veces (donde n es el número de LE dominios con servicio en ese servidor). Let’s Encrypt generalmente considera que los resultados de validación de dominio son válidos durante 30 días desde el momento de la validación, pero los registros de CAA específicamente deben verificarse no más de ocho horas antes de la emisión del certificado.
El resultado es que se presenta una ventana de 30 días en la que Let’s Encrypt puede emitir certificados a un servidor web en particular a pesar de la presencia de registros CAA en DNS que prohibirían su emisión.
Si un administrador no realiza este paso de renovación manual, los navegadores que lleguen a sus sitios web mostrarán advertencias de seguridad TLS debido a los certificados revocados. Los certificados Let’s Encrypt se emiten por intervalos de 90 días, y Certbot los renueva automáticamente solo cuando quedan 30 días o menos en el certificado, por lo que esto podría significar aproximadamente dos meses de errores del navegador si no se realiza la renovación manual forzada.
La importancia de los certificados en los sitios web
Hoy en día los navegadores modernos indican si una página es segura o no en función de si cuentan con certificado. Esto quiere decir que en aquellas páginas donde no haya un certificado presente o éste no sea el adecuado, el navegador la marcará como insegura, afectado también los resultados y el posicionamiento de la web en los diversos navegadores.
Reparación del error.
Detrás de los variadas formas de resolver este problema, una de las más sencillas es la revocación manual y utilizar certbot renew –force-renewal una vez en la línea de comando, como la sesión de shell redactada a continuación.
Esperamos que estos datos le sean de utilidad para afrontar esta problemática.