Let’s Encrypt Mencabut 3 juta Sertifikat Penggunanya Karena Bug pada Kode CAA

 

Let’s Encrypt, sebuah organisasi otoritas sertifikasi (certificate authority / CA) non-profit baru saja mengumumkan pada 27 Februari 2020 lalu bahwa mereka telah memproduksi 1 milyar sertifikat. Let’s Encrypt menyediakan layanan sertifikat SSL/TLS gratis untuk para penggunanya. Namun pada tanggal 4 Maret 2020, Let’s Encrypt memutuskan untuk mencabut sebanyak 3 juta sertifikat yang sudah mereka terbitkan karena mengandung bug yang cukup serius.

Permasalahan terdapat pada kode yang menjadi bug sertifikat TLS. Sertifikat Let’s Encrypt valid selama 90 hari, dan bagi sebagian besar pengguna, sertifikat tersebut akan secara otomatis diperbaharui dalam jangka waktu 30 hari atau kurang dari itu. Banyak sekali pengguna yang memakai sertifikat ganda untuk website dan domain milik mereka, contohnya jika pengguna memisahkan antara domain billing, komunitas, download. Pengguna menerapkan sertifikat pada masing-masing domainnya. Pengguna dapat melakukan pembaruan sertifikat untuk seluruh domainnya dalam waktu bersamaan agar lebih efisien.

Dengan alasan keamanan, Let’s Encrypt melakukan mengecekan terhadap semua domain yang akan diperbaharui sertifikatnya. Proses ini disebut CertifiCATE Authority Authorization (CAA), yang melibatkan mengecekan database domain name system (DNS) untuk memastikan bahwa pemilik domain benar-benar melakukan permintaan unuk pembaruan sertifikat. Atau dalam kasus lain, bila pemilik domain mendelegasikan seseorang atau organisasi lain untuk memperbaharui sertifikatnya, ia akan menambahkan list delegasi tersebut dalam database DNS. Hal ini mencegah pihak tidak berwenang mendapatkan sertifikat palsu untuk website mereka. 

Kesalahan yang terjadi adalah ketika Let’s Encrypt mengecek rekaman CAA, misalnya seorang pengguna akan memperbaharui 10 sertifikat, maka yang diperiksa bukanlah kesepuluh sertifikatnya secara bersamaan. Sertifikat yang diperiksa adalah salah satu dari domain dan memeriksanya sebanyak 10 kali. Sedangkan kesembilan domain lain tidak diperiksa. Sebenarnya, jumlah domain yang tidak diperiksa sehingga risiko bahwa pihak tidak berwenang memanfaatkan celah in untuk membajak domain website dengan sengaja kemungkinnya sangat kecil. Namun tetap saja, dengan celah keamanan yang ada, Let’s Encrypt perlu melakukan swiping terhadap sertifikat-sertifikat yang mungkin terlewat ketika diperiksa. Hingga akhirnya, 3.048.289 sertifikat perlu dicabut terlebih dahulu.

Pada 5 Maret 2020, Let’s Encrypt telah mengganti 1,7 juta serifikat, namun sisanya masih aktif dengan bug tersebut di atas. Let’s Encrypt meminta perpanjangan waktu kepada pangguna untuk menangani kesalahan ini. 

Apa yang sebaiknya dilakukan oleh pengguna Let’s Encrypt?

Jika anda adalah pengguna Let’s Encrypt dan memiliki sertifikat yang dicabut, Let’s Encrypt pasti akan mengirimkan email pemberitahuan. Kunjungi halaman https://letsencrypt.org/caaproblem/ untuk mengetahui daftar sertifikat yang terdampak. Anda juga dapat memeriksa apakah website anda terdampak dengan mengetikkan nama domain di http://unboundtest.com/caaproblem.html, dan menekan “Query”. Website ini akan langsung menampilkan hasil apakah sertifikat milik anda terdampak atau tidak. Jika sertifkat anda termasuk yang terdampak dan belum diperbaharui, sertifikat anda pasti sudah tidak aktif karena Let’s Encrypt telah mencabutnya per tanggal 4 Maret 2020. Maka anda perlu melakukan pembaruan sertifikat secara manual, hal ini lebih mudah dibanding harus menunggu pembaruan otomatis oleh Let’s Encrypt. 

Sumber:
https://www.zdnet.com/article/lets-encrypt-to-revoke-3-million-certificates-on-march-4-due-to-bug/
https://nakedsecurity.sophos.com/2020/03/04/why-3-million-lets-encrypt-certificates-are-being-killed-off-today/amp/
https://letsencrypt.org/caaproblem/
 

  • Jumat, 06 Mar 2020
  • Penulis: Pusopskamsinas

Pemantauan Trafik Internet Nasional

Laporan pemantauan trafik internet nasional dengan menampilkan laporan trafik mingguan, trafik bulanan dan trafik tahunan.

Peringatan Ancaman Keamanan & Kerentanan Sistem

Kumpulan arikel tentang peringatan dini ancaman keamanan dan kerentanan sistem.

Security News

Kumpulan berita tentang keamanan siber atau IT.

Laporan Insiden

Id-SIRTII/CC menerima pelaporan insiden dari publik untuk kemudian dilakukan koordinasi kepada pihak-pihak yang berkepentingan.