Bug di Letsencrypt SSL

[mybloodiscoffee]

Barusan baca info, saya rasa ini bisa jadi informasi penting untuk di sharing. Mungkin sebagian ada yg sudah tahu, mungkin lainnya belum tahu bahwa ada bug pada ssl gratisan let's encrypt. Berikut adalah sebagian kecil informasinya

Pada 2020-02-29 UTC, Let's Encrypt menemukan bug dalam kode CAA mereka. Perangkat lunak CA Let's Encrypti, Boulder, memeriksa catatan CAA pada saat yang sama memvalidasi kontrol pelanggan atas nama domain. Sebagian besar pelanggan mengeluarkan sertifikat segera setelah validasi kontrol domain, tetapi Let's Encrypt menganggap validasi ok ok saja untuk 30 hari. Itu berarti dalam beberapa kasus Let's Encrypt perlu memeriksa catatan CAA untuk kedua kalinya, tepat sebelum penerbitan. Secara khusus, Let's Encrypt harus memeriksa CAA dalam waktu 8 jam sebelum penerbitan (per BRs §3.2.2.8), jadi setiap nama domain yang divalidasi lebih dari 8 jam yang lalu harus diperiksa ulang.

Bug: ketika permintaan sertifikat berisi N nama domain yang membutuhkan CAA memeriksa ulang, Boulder akan memilih satu nama domain dan memeriksanya N kali. Apa artinya ini dalam praktik adalah bahwa jika pelanggan memvalidasi nama domain pada waktu X, dan CAA mencatat untuk domain itu pada saat X mengizinkan penerbitan Let's Encrypt, pelanggan akan dapat mengeluarkan sertifikat yang berisi nama domain itu hingga X + 30 hari, bahkan jika seseorang kemudian menginstal catatan CAA pada nama domain yang melarang penerbitan oleh Let's Encrypt.

Let's Encrypt mengonfirmasi bug pada 2020-02-29 03:08 UTC, dan menghentikan penerbitan pada 03:10. Let's Encrypt menerapkan perbaikan pada pukul 05:22 UTC dan kemudian mengaktifkan kembali penerbitan.

Investigasi awal menunjukkan bug diketemukan pada 2019-07-25. Let's Encrypt akan melakukan investigasi yang lebih rinci dan memberikan postmortem ketika sudah selesai.

Seperti yang dinyatakan dalam forum dukungan Let's Encrypt, 2,6%, yaitu 3.048.289 sertifikat yang berlaku saat ini terpengaruh, dari ~ 116 juta keseluruhan sertifikat Let's Encrypt yang aktif. Let's Encrypt telah merencanakan untuk mencabut sertifikat yang dipengaruhi oleh bug ini pada 2020-03-04 20:00 UTC (15:00 US EST). Pelanggan yang terkena dampak telah diberitahu melalui email. Jika domain Anda terpengaruh, Anda mungkin akan menerima email dengan baris subjek - ACTION REQUIRED: Renew these Let’s Encrypt certificates by March 4. Jika Anda menerima email ini, harap perbarui sertifikat ASAP.

Jika anda menggunakan layanan let's encrypt dan ingin tahu apakah ssl Let's Encrypt anda terkena issue ini, bisa dicek dahulu hasilnya langsung di https://checkhost.unboundtest.com/ masukkan hostname/nama domain yg menggunakan Let's Encrypt dan klik tombol query.

Jika ssl Let's Encrypt bebas dari issue diatas hasil query akan spt ini: "The certificate currently available on namahostname.tld is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0xxxxx978abxxxx."

Jika ssl let's encrypt yg anda gunakan termasuk kena issue diatas hasil query kira" akan spt ini:
"The certificate currently available on namahostname.tld needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dxxxxxxa96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate."

Jika anda menggunakan certbot pada server dan ssl let's encrypt anda termasuk yg kena issue ini, solusinya mudah, cukup ketikkan ini sebagai su root:
certbot renew --force-renewal

Untuk mengetahui progress case ini bisa vek langsung di komunitas let's encrypt disini: https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

 

[idnix]

checkhost.unboundtest.com

di web tersebut artinya apa mas yang ini?

Unfortunately, this means we need to revoke the certificates that were affected by this bug. We're sending emails to everyone with an affected certificate.

 

[paijondablexs]

checkhost.unboundtest.com

di web tersebut artinya apa mas yang ini?

certifikatnya di hapus , mungkin ada laporan di panel kontrol seperti di directadmin.
sosle tiap kali ku add ssl lets ebcript pasti ada laporan suskes atau gagal nya

 

[idnix]

certifikatnya di hapus , mungkin ada laporan di panel kontrol seperti di directadmin.
sosle tiap kali ku add ssl lets ebcript pasti ada laporan suskes atau gagal nya

so jd ga perlu panik berlebihan kan?

 

[paijondablexs]

so jd ga perlu panik berlebihan kan?

gk perlu panik. yg penting web bs dibuka.pengunjung jg gk mempermasalahkan tanda gembok. klo web gk bs dibuka baru bingung.
login cpanel /whm/directadmin aja kadang jg muncul peringatan untuk lanjutkan atau tidak kok. tp tetap aja dilanjutkan.
ssl let's encencript free dg perpanjangan otomatis kayaknya.

klo pgn lbh enak ya pake Comodo.

Tp kmrn hari coba login sebagai reseller comodo , ganti nama apa ya ? lupa aku .
pokoknya dialihkan bukan comodo lagi.
ku soale gk bs byr pke dollar meski sdh daftar jd reseller ssl comodo.

 

[mybloodiscoffee]

checkhost.unboundtest.com

di web tersebut artinya apa mas yang ini?

Itu artinya ssl hostname/domain dimaksud dicabut/alias tidak valid alias kena issue. solusinya: renewal baru.

 

[mybloodiscoffee]

so jd ga perlu panik berlebihan kan?

Hehehe ya perlu panik dikit lah, it sama saja ssl tidak valid lg. otomatis kan dalam masa tsb akses keluar masuk ga pure 100% ssl krn sudah revoke.

 

[mybloodiscoffee]

gk perlu panik. yg penting web bs dibuka.pengunjung jg gk mempermasalahkan tanda gembok. klo web gk bs dibuka baru bingung.
login cpanel /whm/directadmin aja kadang jg muncul peringatan untuk lanjutkan atau tidak kok. tp tetap aja dilanjutkan.
ssl let's encencript free dg perpanjangan otomatis kayaknya.

klo pgn lbh enak ya pake Comodo.

Tp kmrn hari coba login sebagai reseller comodo , ganti nama apa ya ? lupa aku .
pokoknya dialihkan bukan comodo lagi.
ku soale gk bs byr pke dollar meski sdh daftar jd reseller ssl comodo.

Maaf nih, coba anda punya web transactional, ssl di revoke/ga valid, dan hanya bisa santai krn insecure connection warning di browser. Buat kaum black hat justru itu kesempatan bagus buat nembus/cari celah. Jd ni bukan persoalan sekedar revoke doank atau mau comodo ssl lah (sectigo skrg namanya), digicert lah dsb. Sedikit saja ada celah ssl itu dah ga boleh disepelekan apalagi dng alasan santai itu cuma insecure browser warning doank, menurut saya itu ga bijak krn ni pertaruhan keamanan.

Di IT pasti org dng skill keamanan dng skill just use it and worry free itu bakalan beda pola pikir dan behaviornya.

 

[paijondablexs]

Maaf nih, coba anda punya web transactional, ssl di revoke/ga valid, dan hanya bisa santai krn insecure connection warning di browser. Buat kaum black hat justru itu kesempatan bagus buat nembus/cari celah. Jd ni bukan persoalan sekedar revoke doank atau mau comodo ssl lah (sectigo skrg namanya), digicert lah dsb. Sedikit saja ada celah ssl itu dah ga boleh disepelekan apalagi dng alasan santai itu cuma insecure browser warning doank, menurut saya itu ga bijak krn ni pertaruhan keamanan.

Di IT pasti org dng skill keamanan dng skill just use it and worry free itu bakalan beda pola pikir dan behaviornya.

klo untuk transaksi sich mungkin bermasalah .
mungkin biasanya yg bermain carding , ssh ddos gitu .
ku sich kurang paham soale tentang ssl .

ku cuma pake ssl yg disediakan hosting aja .

ngomong2 web transaksional itu kayak gmn ya ? ku soale newbie

 

[mas.satriyo]

yup, dapet notif 1 maret dinihari
kalo di plesk, 3 maret dinihari sudah revoke semua
kemarin saya cek hampir seluruh domain sudah pakai cert baru, sebagian yg belum mungkin nunggu antrian atau malah disable letsencrypt