Let’s Encrypt ha annunciato, in queste ore, che oltre 3 milioni di siti che utilizzano un suo certificato sono affetti da un grave problema di sicurezza.
Il bug di let’s encrypt
Oggi 4 Marzo 2020, Let’s Encrypt provvederà a revocare tutti i certificati affetti da questo bug.
E’ dunque importante che chi utilizzi tale certificato verifichi di non essere tra i siti a cui verrà revocato il certificato, per non trovarsi, nella sgradevole situazione, di avere il proprio sito non sicuro con relativa penalizzazione del posizionamento in serp Google e danni diretti come le mancate vendite qualora il sito con il problema di sicurezza sia un e-commerce.
Questo l’ annuncio ufficiale di Let’s Encrypt:
“Due to the 2020.02.29 CAA Rechecking Bug 5.6k, we unfortunately need to revoke many Let’s Encrypt TLS/SSL certificates.”
Certificates will begin being revoked at 3 PM EST
Potete leggere l’annuncio completo di Let’s Encrypt a questo link
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
Cosa dobbiamo fare per verificare il problema di sicurezza dei certificati Let’s Encrypt?
Consideriamo che, da fonti di Let’s Encrypt, il 2,6% degli utilizzatori è affetto dal problema di sicurezza.
Stiamo parlando di oltre 3 milioni di siti web in tutto il mondo.
Alcuni utenti, se hanno gestito direttamente l’ installazione del certificato e quindi utilizzato una propria email per l’emissione dello stesso, Let’s Encrypt sta inviando una email per avvisare del problema e per allertare il proprietario del sito della revoca del certificato.
In tutti gli altri casi, consiglio una verifica preventiva utilizzando questo tool diagnostico:
https://checkhost.unboundtest.com
Se dovessimo risultare tra i link affetti, bisogna rimanere in allerta, poichè il certificato verrà revocato e quindi dovremmo emetterne uno nuovo.
I certificati SSL gratuiti sono un’ottima risorsa per siti a basso traffico o su cui non bisogna sviluppare business. Soffrono di alcuni problemi, come scrissi già tempo fa in relazione ad una truffa ai danni di PayPal con siti phishing certificati Let’s Encrypt.
Il mio consiglio è da sempre, di utilizzare certificati a pagamento di enti certificatori come Comodo (era Sectigo) e Thawte che danno il massimo della sicurezza e della compatibilità con tutti i browser.