A partir de este 28 de enero, Let’s Encrypt comenzará a revocar ciertos certificados SSL/TLS emitidos durante los últimos meses debido a un error de seguridad que podría afectar a millones de certificados activos. Como autoridad certificadora sin fines de lucro dirigida por Internet Security Research Group (ISRG), Let’s Encrypt proporciona certificados X.509 para el cifrado de seguridad de la capa de transporte sin costo alguno.
Ayer, ISRG recibió un reporte señalando la detección de dos irregularidades en la implementación de la autoridad de certificación del método de validación TLS usando ALPN. La autoridad de certificación tuvo que realizar dos cambios en el funcionamiento de su validación de desafío TLS-ALPN-01, así lo explicó un miembro del equipo de Let’s Encrypt: “Todos los certificados activos que se emitieron y validaron con el desafío TLS-ALPN-01 antes del 26 de enero de 2022 se considerarán mal emitidos”.
Para cumplir con la Política de Certificados de Let’s Encrypt, que requiere que la autoridad de certificación invalide un Certificado dentro de los 5 días bajo ciertas condiciones, se revocarán los certificados a las 16:00 UTC del 28 de enero de 2022. No todos los certificados se ven afectados por la implementación incorrecta del método de validación “TLS usando ALPN”, por lo que este proceso de revocación planificada solo se aplicará a los certificados emitidos con el método de validación defectuoso TLS-ALPN-01.
Al respecto, Let’s Encrypt calcula que solo el 1% de los certificados activos se ven afectados. Los suscriptores afectados por las revocaciones recibirán un aviso vía email si su cuenta ACME contiene una dirección email válida. En caso de requerir el proceso de revocación, los usuarios pueden solicitar ayuda mediante las plataformas oficiales de la autoridad de certificación.
Especialistas reportan que, según las últimas estimaciones, la cantidad de todos los certificados Let’s Encrypt activos supera los 221 millones. Por lo tanto, a pesar de que solo el 1% de certificados se ven afectados por el error esta cifra aún representa millones de implementaciones afectadas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.