Let’s Encrypt è l’autorità di certificazione (CA) nata per rendere popolare e conveniente (anzi praticamente gratis) la richiesta e la distribuzione di certificati di sicurezza per le comunicazioni HTTPS, ma il servizio ha di recente sperimentato un grave bug che ha causato la revoca di milioni dei suddetti certificati già installati dagli amministratori dei siti Web.
Come spiegato sul forum ufficiale di Let’s Encrypt, il bug è stato individuato nel codice di Boulder, l’ambiente per la gestione automatizzata dei certificati usato dal servizio: Boulder interroga periodicamente i database di Certificate Authority Authorization (CAA) per verificare la corretta corrispondenza tra un certificato TLS e un nome di dominio.
Qualcosa però è andato storto nei check-up di Boulder, e l’incorretta gestione dei controlli ha portato alla generazione di oltre 3 milioni di certificati potenzialmente insicuri. Let’s Encrypt aveva già informato gli admin coinvolti per e-mail, comunicando che la revoca dei certificati insicuri sarebbe avvenuta nella giornata di oggi 4 marzo 2020.
La CA mette a disposizione degli interessati un sito che permette di verificare la necessità di sostituire il certificato TLS già in uso, anche se la procedura di revoca (e la relativa difficoltà ad accedere a un sito dal browser) dovrebbe di per se allarmare quanti non avessero fin qui dato sufficiente importanza alla questione.
Il bug nei controlli dei certificati TLS evidenzia ancora una volta l’estrema fragilità dell’infrastruttura su cui si reggono le comunicazioni di Internet, ma dal punto di vista di Let’s Encrypt dovrebbe trattarsi solo di un problema passeggero in vista di un futuro radioso: il servizio ha di recente confermato di aver concesso il suo primo miliardo di certificati gratuiti per altrettanti domini e siti HTTPS.