Abbiamo spesso sottolineato quanto l’uso di connessioni sicure sia essenziale al mondo d’oggi. E sicuramente quella più diffusa e usata è la connessione HTTPS, che prevede l’uso di certificati garantiti da un ente considerato sicuro: la Certificate Authority (CA) del certificato.
In questi anni la CA più usata e diffusa è diventata sicuramente Let’s Encrypt, il progetto (no profit) che punta proprio alla diffusione dell’uso dei certificati, le cui armi vincenti sono principalmente due. La prima è l’essere gratuito, ovvero permette a chiunque di ottenere un loro certificato, della durata di 3 mesi. Ogni tre mesi ne va chiesto uno nuovo, ma la fatica è mitigata dalla seconda arma: ACME (Automatic Certificate Management Environment), ovvero una serie di script automatici che, nella maggior parte dei casi, permette di non pensare più al rinnovo. Tra l’altro formalizzato come standard con una RFC l’anno scorso.
Quando fu lanciato, nel 2014, Let’s Encrypt creò un piccolo terremoto e si impose rapidamente nel mercato, tanto che in meno di 3 anni aveva la maggioranza (relativa) del mercato e festeggiava anche i 100 milioni di certificati rilasciati.
Oggi, a distanza di altri 3 anni, quella cifra è decuplicata, con l’annuncio dell’emissione del miliardesimo (1 000 000 000) certificato. Davvero notevole!
Ma il successo di questo progetto non risiede solo nella economicità e facilità d’utilizzo, ma anche nella sua solidità (l’uso di certificati con scadenza breve impone un carico di lavoro continuo per il rinnovo) e trasparenza nelle informazioni.
Proprio in questo spirito, appena individuato un bug nelle loro procedure interne ne è stata data comunicazione. In pratica, per circa 6 mesi, il controllo sui domini da certificare era fallato: invece di controllare gli N domini da associare ad un certo certificato, ne veniva controllato uno solo N volte. Cosa che, potenzialmente, ha portato all’emissione di certificati che non dovevano essere emessi.
Ma l’intervento correttivo non si limita al fix del codice di verifica: c’è puntuale comunicazione che il 4 marzo saranno sono stati revocati anche i certificati emessi per errore. Quanti? Solo il 2,6% di quelli attivi, ovvero poco più di 3 milioni.
Let’s Encrypt sta contattando direttamente i detentori a lei conosciuti dei certificati da revocare per avvertirli, ma se per caso voleste controllare anche i vostri certificati ci sono due metodi:
- scaricare la lista dei serial number affetti;
- inserire il dominio usato per il certificato nel tool apposito.
Sempre Let’s Encrypt ci fa sapere che nel secondo caso è possibile fare l’interrogazione direttamente con cURL (comodo se si ha una lista di domini da controllare):
$ curl -XPOST -d 'fqdn=www.miamammausalinux.org' 'https://unboundtest.com/caaproblem/checkhost'
The certificate currently available on www.miamammausalinux.org is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 03ea4ee3fb27ba187a3f109495324051dd53
Buon controllo!
Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.
Lascia un commento