Let’s Encrypt révoque 3 millions de certificats TLS en raison d’un bug

mars 2020 par Kevin Bocek, VP Security Strategy and Threat Intelligence, Venafi

Ces certificats numériques permettent le cryptage qui sécurise la communication entre machines, donnant aux machines une identité unique pour garantir leur fiabilité. En raison de ce bug, tout site web utilisant Let’s Encrypt doit remplacer immédiatement tous ses certificats affectés ou les laisser fonctionner sans protection. Dans le cas contraire, les sites web afficheront des avertissements "non sécurisés" aux utilisateurs, car les communications ne seront plus cryptées...

"Les certificats numériques, tels que ceux émis par Let’s Encrypt, fournissent aux machines - qu’il s’agisse de sites web, de serveurs, d’applications, de dispositifs IdO, de tout - une identité unique pour permettre une communication cryptée et sécurisée avec d’autres machines. Le plus reconnaissable, peut-être, est qu’ils activent le petit cadenas dans la barre d’URL qui nous indique qu’un site a été sécurisé ; ou dans ce cas, l’absence de certificat peut déclencher un avertissement aux utilisateurs qu’un site n’est pas sécurisé. Ces identités de machines sont le moteur de la transformation numérique et de l’économie moderne, assurant la confiance, l’authentification et la confidentialité entre les mondes toujours plus nombreux des machines, du cloud et des logiciels. Une mesure de cette transformation : il y a plus de 110 millions d’identités de machines actives émises par le service gratuit, Let’s Encrypt, une autorité de certification (CA) publique. En de mauvaises mains - ou si elles sont mal gérées - les identités des machines peuvent permettre des attaques ou empêcher les entreprises de fonctionner.

Malheureusement, à cause d’un bug, Let’s Encrypt révoque - en les rendant invalides - plus de 3 millions d’identités machines du jour au lendemain. Des millions de machines peuvent quitter l’internet et ne plus être fiables, ce qui peut entraîner des pannes préjudiciables et coûteuses. Des clients en colère, des cadres en colère. Lorsqu’un tel événement se produit, les organisations doivent pouvoir échanger rapidement leurs anciennes identités machines contre de nouvelles, sécurisées. Mais la plupart des organisations ne comprennent pas ou n’ont pas de visibilité sur l’identité de leurs machines. Elles ne savent pas combien d’identités elles possèdent - un chiffre qui pourrait se situer dans les dizaines de milliers - elles ne savent pas qui les a émises, ni à quoi elles servent. De plus, la seule façon de les mettre à jour est de les passer en revue, de les trouver manuellement et de les remplacer.

En fin de compte, la transformation numérique devenant de plus en plus complexe, il est probable que de telles questions se posent plus fréquemment. C’est une raison de plus pour laquelle les équipes de sécurité doivent fournir à leur entreprise une visibilité et une automatisation grâce à la protection de l’identité machines afin de trouver et de remplacer toutes les identités machines compromises en quelques secondes, quelle que soit l’AC utilisée. Dans l’environnement volatile d’aujourd’hui, les entreprises doivent utiliser la protection de l’identité machines, sous peine de ne plus être fiables et de se voir essentiellement expulsées d’Internet à tout moment ».