Let’s Encrypt descubre error de CAA, deberá revocar certificados de clientes.

Let’s Encrypt descubre error de CAA, deberá revocar certificados de clientes.

Let’s Encrypt es un servicio gratuito muy popular de certificados TLS. Es muy utilizado por la industria lo que implica que es un fallo que puede afectar cientos de miles de sitios, actualmente LE lleva poco más de 3 millones de certificados revocados, esto se traduce en que los sitios a los cuales se les ha revocado el certificado sean catalogados como webs no seguras.

Este error podría abrir la puerta para que un atacante tome el control de un certificado TLS en un sitio web. Esto permitiría acceder al tráfico web y recopilar datos confidenciales.

Let’s Encrypt ha declarado:

Desafortunadamente, esto significa que debemos revocar los certificados que se vieron afectados por este error, que incluye uno o más de sus certificados. Para evitar interrupciones, deberá renovar y reemplazar sus certificados afectados antes del miércoles 4 de marzo de 2020. Nos disculpamos sinceramente por el problema.

Si no puede renovar su certificado antes del 4 de marzo, fecha en que debemos revocar estos certificados, los visitantes de su sitio verán advertencias de seguridad hasta que renueve el certificado.

El problema que descubrió LE es que, en lugar de verificar cada nombre de dominio por separado para los registros CAA válidos que autorizan que ese dominio sea renovado por ese servidor, Boulder verificaría uno de los dominios en ese servidor  n veces (donde  n es el número de LE dominios con servicio en ese servidor). Let’s Encrypt generalmente considera que los resultados de validación de dominio son válidos durante 30 días desde el momento de la validación, pero los registros de CAA específicamente deben verificarse no más de ocho horas antes de la emisión del certificado.

El resultado es que se presenta una ventana de 30 días en la que Let’s Encrypt puede emitir certificados a un servidor web en particular a pesar de la presencia de registros CAA en DNS que prohibirían su emisión.

Si un administrador no realiza este paso de renovación manual, los navegadores que lleguen a sus sitios web mostrarán advertencias de seguridad TLS debido a los certificados revocados. Los certificados Let’s Encrypt se emiten por intervalos de 90 días, y Certbot los renueva automáticamente solo cuando quedan 30 días o menos en el certificado, por lo que esto podría significar aproximadamente dos meses de errores del navegador si no se realiza la renovación manual forzada.

La importancia de los certificados en los sitios web

Hoy en día los navegadores modernos indican si una página es segura o no en función de si cuentan con certificado. Esto quiere decir que en aquellas páginas donde no haya un certificado presente o éste no sea el adecuado, el navegador la marcará como insegura, afectado también los resultados y el posicionamiento de la web en los diversos navegadores.

Reparación del error.

Detrás de los variadas formas de resolver este problema, una de las más sencillas  es la revocación manual y utilizar  certbot renew –force-renewal una vez en la línea de comando, como la sesión de shell redactada a continuación.

yo @ system76-pc: ~ $ ssh root@web.redacted.net

Contraseña de root@web.redacted.net:

root @ web: ~ # certbot renove –force-renovación

Guardar registro de depuración en /var/log/letsencrypt/letsencrypt.log

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Procesando /etc/letsencrypt/renewal/web.redacted.net.conf

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Complementos seleccionados: autenticador apache, instalador apache

Renovar un certificado existente

Realizando los siguientes desafíos:

desafío http-01 para dev.redacted0.org

desafío http-01 para redacted0.org

desafío http-01 para redacted1.com

desafío http-01 para redacted2.net

desafío http-01 para redacted3.com

desafío http-01 para redacted4.com

desafío http-01 para redacted5.com

desafío http-01 para old.redacted0.org

desafío http-01 para redacted6.com

desafío http-01 para web.redacted.net

desafío http-01 para www.dev.redacted0.org

desafío http-01 para www.redacted0.org

desafío http-01 para www.redacted1.com

desafío http-01 para www.redacted.net

desafío http-01 para www.redacted3.com

desafío http-01 para www.redacted4.com

desafío http-01 para www.redacted5.com

desafío http-01 para www.redacted6.com

Esperando verificación …

Limpiando desafíos

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

nuevo certificado desplegado con recarga del servidor apache; fullchain es

/etc/letsencrypt/live/web.redacted.net/fullchain.pem

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Felicitaciones, todas las renovaciones tuvieron éxito. Se han renovado los siguientes certificados:

/etc/letsencrypt/live/web.redacted.net/fullchain.pem (éxito)

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Esperamos que estos datos le sean de utilidad para afrontar esta problemática.

Fuente.

Menú