Especialistas en seguridad de aplicaciones web reportaron el hallazgo de una falla de seguridad en el código de autorización CAA de la autoridad de certificación (CA) Let’s Encrypt; la vulnerabilidad crea una ventana de tiempo en la que es posible emitir un certificado incluso si el registro CAA en el DNS del dominio debiera prohibirlo. La falla forzó a Let’s Encrypt a revocar cualquier certificado que pudiese haber sido emitido de forma no legítima.
En un comunicado, la CA mencionó: “Por desgracia debemos recovar todos los certificados afectados, lo que podría incluir uno o más de los certificados de cada usuario. Para evitar interrupciones, deberá renovar y reemplazar los certificados afectados antes que termine el 4 de marzo; ofrecemos nuestras más sinceras disculpas por el incidente”.
Acorde a los expertos en seguridad de aplicaciones web, los sitios donde no se renueven y reemplacen los certificados afectados mostrarán mensajes de advertencia a los visitantes hasta que los certificados sean renovados.
Let’s Encrypt usa el software de CA Boulder. Un servidor web que usa Let’s Encrypt y presta servicios a diversos nombres de dominio independientes recibe un certificado de LE único, que protege todos los nombres de dominio en el servidor, en lugar de emplear un certificado para cada dominio. El bug reportado consiste en que, en vez de verificar cada nombre de dominio por separado en busca de registros CAA válidos, Boulder verifica uno de los dominios una vez por cada dominio en el servidor.
Como resultado del error, se genera un periodo de 30 días en el que Let’s Encrypt puede emitir certificados a un servidor web en particular sin importar la presencia de registros CAA que, en condiciones normales, prohibirían su emisión, mencionan los especialistas en seguridad de aplicaciones web.
Es un hecho que se emitieron múltiples certificados que no debían ser autorizados, por lo que Let’s Encrypt optó por la revocación de los certificados que no fueron verificados adecuadamente; ante esta situación, los usuarios deberán forzar la renovación manual de sus certificados para eliminar el riesgo de seguridad. Los pasos para la renovación manual de certificados pueden encontrarse en las plataformas oficiales de Let’s Encrypt.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), los administradores de sitios deben apresurarse a realizar este procedimiento manual. En caso contrario, los sitios web afectados podrían bajar su afluencia de forma considerable debido a las advertencias de seguridad de la autoridad de certificación.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad