Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Let's Encrypt forzada a revocar más de 3 millones de certificados por un error en el proceso de validación

Bramante
2

Y el plazo de revocación es de menos de 24 horas.

Acabo de recibir un correo de Let's Encrypt donde se me indica que para mañana 4 de marzo van a quedar revocados algunos de los certificados que uso.

Por lo visto, hace unos días detectaron un error en el proceso de emisión y validación. Al parecer, hoy ya han podido determinar cuántos certificados han podido quedar afectados y 24 horas después, éstos quedarán revocados con lo que ello significa si dichos certificados están en activo en servidores web.

La solución simplemente consiste en renovar los certificados.

Contenido del correo electrónico:

We recently discovered a bug in the Let's Encrypt certificate authority code,
described here:

community.letsencrypt.org/t/2020-02-29-c…g-bug/114591

Unfortunately, this means we need to revoke the certificates that were affected
by this bug, which includes one or more of your certificates. To avoid
disruption, you'll need to renew and replace your affected certificate(s) by
Wednesday, March 4, 2020. We sincerely apologize for the issue.

If you're not able to renew your certificate by March 4, the date we are
required to revoke these certificates, visitors to your site will see security
warnings until you do renew the certificate. Your ACME client documentation
should explain how to renew.

If you are using Certbot, the command to renew is:

certbot renew --force-renewal

If you need help, please visit our community support forum:
community.letsencrypt.org/t/revoking-cer…rch-4/114864

Please search thoroughly for a solution before you post a new question. Let's
Encrypt staff will help our community try to answer unresolved questions as
quickly as possible.

Your affected certificate(s), listed by serial number and domain names:

BocaDePez
BocaDePez

A mi me llegó esta mañana.

🗨️ 4
Bramante

A las 21:02 me ha llegado a mí.

Suerte que los certificados afectados no están funcionando en un servidor importante pero me avisan una hora más tarde, ya no leo el correo hoy y me entero del problema mañana con los navegadores escupiendo errores.

Y el cron de Certbot en esa máquina creo que corre una vez a la semana.

🗨️ 3
BocaDePez
BocaDePez

A mi no me ha llegado nada.

Es una putadilla si tienes una máquina en algo importante, pero con la pila de pasta que me he ahorra en certificados estos años, la verdad, se lo perdonaría.

Qué haríamos sin let's, bueno está claro, pagar y pagar. :))

No obstante deberían de tener un poco más de cuidado,aunque es sencillo de solucionar.

rbetancor

La recomendación (y es la que seguimos nosotros) es ejecutar el cron al menos una vez al día, usar la opción de hooks y comprobar la salida de la ejecución de certbot.

No nos ha llegado ningún aviso, pero aún así, los compis han lanzado una actualización forzada masiva, por si acaso.

🗨️ 1
Bramante

La recomendación (y es la que seguimos nosotros) es ejecutar el cron al menos una vez al día

Y lo debería tener así, pero lo fui dejando, lo fui dejando y aún está el cron cada siete días.

A la tarde, si tengo un rato, cambiaré eso.

vukits

por dios

BocaDePez
BocaDePez
2

Qué bien la centralización de las entidades generadoras de certificados, estoy contentísimo.

BocaDePez
BocaDePez
1

Gracias por el aviso. A mi no me ha llegado ningún mail, pero por si acaso renuevo.

🗨️ 1
BocaDePez
BocaDePez

Lo mismo digo:

certbot renew --force-renewal

BocaDePez
BocaDePez

Para la gente ignorante. ¿Que pasa si no renuevas los certificados?

🗨️ 1
rbetancor

Que a los usuarios les saltará un bonito aviso de se están conectando a un sitio/servicio no seguro.

Josh
1

Parece que el de BA no está afectado. Gracias por avisar.

🗨️ 1
BocaDePez
BocaDePez

Claro, porque es una versión distinta.

No afecta.

pepejil

A mí me afecta en una de las dos máquinas.

Encima tienen la versión 0.31 de certbot en la que, la casualidad, tienen un bug en los webroot al forzar un renew 😓

Pero bueno, copia y pega de los dominios y a generar nuevo certificado manualmente.

BocaDePez
BocaDePez

Es una barbaridad como hemos pasado a depender de los caprichos de Let's Encrypt y sin que exista una alternativa gratuita.

🗨️ 11
BocaDePez
BocaDePez
1

Dependencia total de un tercero gracias a Google, y la escena internacional de la "seguridad" dando palmas. Single point of failure, clap clap clap

🗨️ 4
rbetancor

El movimiento de Google, me pareció más que correcto, hay muchas veces, sobre todo en el mundo de la redes y sistemas, que o fuerzas el cambio o no cambian nunca ...

Ejemplo: Cambio de ipv4 a ipv6 ... el día que Google, AWS o alguna más de las grandes día "sus doi 6 meses para que dejéis de usar ipv4", ya verás tú las prisas que se van a meter los operadores en arreglar las mierdas que tienen montadas actualmente.

En cuanto a lo SPOF y la escena internacional de "seguridad" ... se lo han buscado, podrían haber montado alguna otra organización como Let's Encrypt ... o montar un sistema de verificaciones recíprocas ... las herramientas existen, lo que parece que no existe en voluntad por parte de nadie de montarlo para el gran público.

🗨️ 3
BocaDePez
BocaDePez
1

No me gusta que una compañía multinacional use sus poderes para elegir lo que es mejor o peor para internet mediante coacción... fíjate qué raro soy

El fin no justifica los medios

🗨️ 1
BocaDePez
BocaDePez
1

Y añado que esto de https lo han podido hacer porque controlan el buscador Google y el navegador más usado Chrome. Si no se habrían comido una mierda. Lo que han hecho es abusar del poder de monopolio.

rbetancor
1

La existencia de Let's Encrypt, reventó la burbuja del negocio de la venta de certificados, que eran todas un puto robo a mano armada.

🗨️ 5
BocaDePez
BocaDePez

Para una tienda Online que factura 250.000€ pagar 250€ o incluso 400€ no es ningún robo, más cuando no hay que hacer nada, pagas y cada año dos años se renueva y se gestiona todo de forma automatica y a más estos certificados incluyen autentificación completa.

En cambio Let's Encrypt cada dos por tres tiene algo y como falle certbot toca hacerlo de forma manual cada 90 días.

🗨️ 4
rbetancor
1

No todo se limita a Tiendas Online que facturan 250.000€ ... ;-)

Al fin y al cabo, las empresas que se dedicaban a vender certificados, también han tenido de las suyas ... como cuando les han robado las master-keys a más de una. Y en realidad lo que te cobraban, era más por la póliza de seguro asociada al certificado, que otra cosa.

finn

Por menos de diez euros tienes un certificado anual de Comodo/Sectigo.

🗨️ 1
pepejil

y como falle certbot toca hacerlo de forma manual cada 90 días.

¿Qué probabilidades hay de que falle eso? Llevo 2 años usando Certbot en Debian y jamás se ha saltado un renew cuando tocaba. Me parece absurdo tenerlo en consideración y más teniendo en cuenta que los bundles ya instalan el cron automáticamente.

Al margen de sí ha sido forzado o no, bendito sea el que haya diseñado Lets Encrypt.