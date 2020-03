Let’s Encrypt a annoncé samedi 29 février avoir découvert un bogue dans son code CAA (Certification Authority Authorization). Certains certificats ont été révoqués.

Bug CAA

Le logiciel vérifie les enregistrements CAA en même temps qu’il valide le contrôle d’un abonné sur un nom de domaine. Après validation, la plupart des abonnés émettent immédiatement un certificat, mais Let’s Encrypt considère qu’une validation est valable pendant 30 jours. Le bogue gardait ce délai ouvert et un certificat pouvait être émis même si un enregistrement CAA l’interdit.

Le bogue: lorsqu’une demande de certificat contenait N noms de domaine nécessitant une nouvelle vérification CAA, Boulder choisissait un nom de domaine et le vérifiait N fois. En pratique, cela signifie que si un abonné a validé un nom de domaine au moment X et que les enregistrements CAA pour ce domaine au moment X ont permis l’émission Let’s Encrypt, cet abonné pourrait émettre un certificat contenant ce nom de domaine jusqu’à X + 30. jours, même si quelqu’un a installé plus tard des enregistrements CAA sur ce nom de domaine qui interdisent la délivrance par Let’s Encrypt.

Le bogue a été corrigé le même jour et Let’s Encrypt mène une enquête plus approfondie. Il a été déterminé que le bogue a été introduit dans le système le 25 juillet 2019.

