Let’s Encrypt เรียกคืน TLS Certificate กว่า 3 ล้านใบ เนื่องจากพบ Bug ในซอฟต์แวร์

Let’s Encrypt ได้ตัดสินใจเรียกคืน TLS Certificate กว่า 3 ล้าน เพราะประสบปัญหา Bug ในซอฟต์แวร์ที่ใช้ตรวจสอบโดเมนและออก Certificate ทำให้ไม่ตรงตามการตั้งค่าใน Certificate Authority Authorization (CAA)

CAA คือฟีเจอร์ด้านความมั่นคงปลอดภัยเพื่ออนุมัติให้ผู้ดูแลโดเมนสามารถสร้าง DNS Record ตรงกับ Certificate Authority (CA) ซึ่ง Authority จะต้องมีการตรวจสอบ CAA Record อย่างน้อย 8 ชั่วโมงก่อนออก Certificate

อย่างไรก็ตามปัญหาของ Bug ที่ชื่อ ‘Boulder’ คือการทำให้มีการตรวจสอบ Multi-domain Certificate ผิดพลาด (เรียกอีกชื่อได้ว่า Subject Alternative Name ชมรูปประกอบด้านบน) ซึ่งมีการเลือกตรวจสอบโดเมนเดียวซ้ำๆ เท่ากับจำนวนโดเมนใน Certificate แทนที่จะตรวจสอบทุกโดเมนทั้งหมด ด้วยเหตุนี้เองทาง Let’s Encrypt จึงขอเรียกคืน Certificate กว่า 2.6% ที่ออกไปแล้ว

สำหรับผู้ใช้งานที่คาดว่าตัวเองอาจจะได้รับผลกระทบ สามารถตรวจสอบตัวเองได้ที่ https://checkhost.unboundtest.com ว่าต้องถูกเรียกคืนหรือไม่ 

ที่มา :  https://www.bleepingcomputer.com/news/security/lets-encrypt-to-revoke-3-million-tls-certificates-due-to-bug/