Pada hari Rabu, 4 Maret 2020, 3 juta sertifikat TLS (Transport Layer Security) yang dikeluarkan oleh Let’s Encrypt dicabut karena bug Certificate Authority Authorization (CAA). Ini merupakan 2,6%-nya dari kisaran 116 juta sertifikat aktif yang dikeluarkan oleh Let’s Encrypt.
Let’s Encrypt telah menghubungi semua pemegang sertifikat yang terkena bug ini, dan mereka telah membuat alat dan daftar nomor seri untuk menentukan apakah sertifikat TLS kamu dipengaruhi oleh bug tersebut.
Fun! @letsencrypt giving 3 million sites a practice run in "does your infra handle short notice renewals". It was already March 4 here when this email was sent. https://t.co/sjaTHQZTLz says revocations may start from 2020-03-04 00:00:00 UTC. pic.twitter.com/gdcBdsd1y9
— Peanut Butter Guillotine (@xurizaemon) March 3, 2020
Bagaimana cara mengetahui jika terpengaruh oleh bug ini
Let’s Encrypt membuat alat dimana kamu dapat memeriksa nama host situs kamu dan melihat apakah sertifikat yang dikeluarkan terpengaruh oleh bug ini. Let’s Encrypt juga membuat daftar semua nomor seri yang terpengaruh.
Pada sistem seperti Linux/BSD, kamu juga dapat menjalankan perintah berikut untuk menampilkan nomor seri sertifikat domain yang dipasang saat ini. Ganti example.com di bawah ini dengan nama domain kamu sendiri:
openssl s_client -connect example.com:443 -servername example.com -showcerts /dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Jika penyedia hosting kamu yang memberikan sertifikat untuk situs webnya, kemungkinan besar mereka yang dihubungi oleh Let’s Encrypt. Banyak pemilik situs telah menerima pemberitahuan dari penyedia hosting bahwa mereka akan menangani penerbitan kembali sertifikat tersebut.
Apa yang akan terjadi jika kamu tidak segera memperbaikinya?
Sertifikat TLS memastikan bahwa pengunjung situs memiliki lalu lintas terenkripsi antara browser mereka dan situs web yang dikunjungi. Pengunjung situs mungkin akan melihat kesalahan pencabutan sertifikat, peringatan “tidak aman”, atau peringatan keamanan lainnya di browser mereka yang dapat mengurangi kepercayaan untuk mengunjungi situs.
Let’s Encrypt mengonfirmasi bug pada 2020-02-29 03:08 UTC, dan menghentikan penerbitan sertifikat dua menit kemudian. Mereka mengerahkan perbaikan pada 05:22 UTC dan mengaktifkan kembali penerbitan sertifikat pada waktu itu.
Menurut peneliti keamanan Scott Helme, yang memposting investigasinya di Twitter:
As for guidance here, if you have received a notification then you need to renew as soon as you can. Just run whatever process you normally run and make sure you force it to renew. If you're not sure if you're affected, renew anyway as a precaution.
— Scott Helme (@Scott_Helme) March 3, 2020
Apakah ini berarti kita harus menggunakan sertifikat SSL selain dari Let’s Encrypt?
Let’s Encrypt sangat transparan tentang bug ini, baik dalam mengidentifikasi masalah itu sendiri maupun melaporkan kejadian CA. Mereka bertindak persis bagaimana otoritas sertifikat harus bertindak. Karena itu, kami yakin bahwa Let’s Encrypt masih merupakan sumber yang baik untuk sertifikat TLS.
Kamu dapat menemukan detail bug di Let’s Encrypt bug tracker.