Let’s Encrypt Bug CAA Rechecking 6.6k
Alcuni certificati SSL rilasciati dalla Certification Authority Let’s Encrypt sono stati revocati per un bug del 29 febbraio 2020, chiamato CAA Rechecking Bug 6.6k.
Si avete capito bene, i certificati rilasciati gratuitamente da Let’s Encrypt potrebbero essere afflitti da un bug, a comunicarlo è direttamente Let’s Encrypt grazie ad una nota nella propria community.
Scopriamo quindi quali sono i certificati e cerchiamo di capire come fare per mettersi al riparo.
Bug di Let’s Encrypt, un po’ di numeri
I certificati interessati dal CAA Rechecking Bug 6.6k sono circa il 2,6% di quelli attivi, ossia circa 3.048.289 su oltre 116 milioni di certificati emessi da Let’s Encrypt.
Di questi circa un milione sono duplicati di altri certificati nel senso che coprono lo stesso set di nomi a dominio e questi sarebbero maggiormente colpiti dal bug CAA Rechecking 6.6k.
Come verificare il bug del certificato Let’s Encrypt
Le revoche dei certificati sono già partite dal 4 marzo 2020 e a seguire vi mostriamo come poter controllare se il vostro certificato è afflitto dal bug:
Potete collegarvi all’indirizzo https://checkhost.unboundtest.com/ dove dovete inserire il nome del dominio, come da esempio:
httpscheckhost.unboundtest.com
Una volta premuto su “Query” ecco cosa può succedere:
se compare questa scritta:
The certificate currently available on nomeadominio.xxx is OK.
It is not one of the certificates affected by the Let’s Encrypt CAA rechecking
problem. Its serial number is XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
il certificato installato su questo nome a dominio non è interessato dal bug.
Se invece compare questa scritta:
The certificate currently available on nomeadominio.xxx needs renewal because it is affected by Let’s Encrypt CAA rechecking problem.
Its serial number is XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
See your ACME client documentation for instructions on how to renew a certificate.
dovrete necessariamente rinnovare il certificato dal 4 marzo 2020.
Riguardo al numero seriale, il sito https://letsencrypt.org/caaproblem dà la possibilità di scaricare un file con la lista di tutti i serial number afflitti dal problema dei certificati Let’s Encrypt.
Let’s Encrypt avvisa gli utenti via email
Let’s Encrypt fa sapere poi che sta inviando molte email che invitano gli utenti a rinnovare il certificato laddove abbia riscontrato il bug.
Tuttavia ci sono utenti che hanno ricevuto l’email anche se il sito unboundtest non ha segnalato il problema; a tal proposito Let’s Encrypt comunica che ha già provveduto a sostituire in automatico il certificato e quindi non è necessario rinnovarlo.
[adrotate banner=”1″]
Problemi di rinnovo del certificato Let’s Encrypt
Alcuni utenti infine hanno segnalato un problema durante il rinnovo stesso del certificato:
urn:acme:error:rateLimited :: There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for exact set of domains”
In questo caso probabilmente il certificato è stato rinnovato da poco da Let’s Encrypt, per cui significa che il certificato non è interessato dal bug ed è sufficiente controllarlo tramite il sito https://checkhost.unboundtest.com/
Conclusioni
Invitiamo tutti a controllare con gli strumenti appena menzionati, i vostri domini aziendali o quelli che avete in gestione, così da verificare se i certificati Let’s Encrypt sono afflitti dal bug CAA Rechecking Bug 6.6k.
Noi nel frattempo stiamo continuando a monitorare la situazione invitandovi a segnalarci eventuali problematiche attraverso i nostri canali aziendali o anche qui sotto nei commenti.
