Let’s Encrypt Mencabut 3 Juta Sertifikat pada 4 Maret

Let’s Encrypt adalah organisasi non-profit yang menyediakan SSL gratis untuk semua pemilik website. Pada 4 Maret 2020, letsencypt mencabut 3 juta sertifikat TLS / SSL karena pihak letsencrypt menemukan bug dalam kode Certificate Authority Authorization (CAA).

2020.02.29 CAA rechecking bug

On 2020-02-29 UTC, Let’s Encrypt found a bug in our CAA code. Our CA software, Boulder, checks for CAA records at the same time it validates a subscriber’s control of a domain name. Most subscribers issue a certificate immediately after domain control validation, but we consider a validation good for 30 days. That means in some cases we need to check CAA records a second time, just before issuance. Specifically, we have to check CAA within 8 hours prior to issuance (per BRs §3.2.2.8), so any domain name that was validated more than 8 hours ago requires rechecking.
Dikutip dari forum Let's Encrypt

Bagaimana cara mengetahui sertifikat yang terkena bug

Pengguna Linux, macOS dan Unix dapat menggunakan perintah curl:

curl -XPOST -d 'fqdn=domain.com' https://unboundtest.com/caaproblem/checkhost

atau bisa juga di https://checkhost.unboundtest.com/

cek sertifikat lets encrypt
sample output yang tidak terkena bug

Pihak Let’s Encrypt sudah mengirimkan email kepada pelanggan yang terkena dampak tersebut. Jika penyedia hosting kalian menyediakan layanan sertifikat letsencrypt, kemungkinan besar mereka yang akan dihubungi pihak Let’s Encrypt.

Untuk website yang terkena dampak tersebut segera lakukan pembaruan sertifikat. Jika tidak, mungkin pengunjung website kalian akan melihat peringatan “Tidak Aman” dan mengurangi kepercayaan website kalian.

Baca juga:   Open Redirect to XSS - Vice.com

Sumber:
Forum Let’s Encrypt

Leave a Reply

Your email address will not be published. Required fields are marked *