Muitas coisas podem dar errado na internet: a senha não funcionar, os haters podem ganhar voz ou um TCC inteiro se perder porque o cloud não salvou a última versão – não que isso tenha acontecido com alguém dessa redação. Mas, na semana passada, o mundo ficou à beira de um “web colapso” e quase “perdeu” 3 milhões de sites, só que pouquíssima gente ficou sabendo disso. Felizmente, foi mais um sustinho à la Bug do Milênio, que poderia ter sido catastrófico, mas não foi ufa! O motivo, desta vez, foi um problema de back-end da Let's Encrypt, que levou 5 dias para ser resolvido por aqueles anônimos que mantêm nossa rede mundial rodando direitinho. Mas, vamos entender isso direito.
#Sextou
Tudo começou em 28 de fevereiro: em uma bela sexta-feira, às 9h da manhã, a Let's Encrypt encontrou um bug que poderia tirar do ar mais de 3 milhões de sites. Essa é uma autoridade de segurança, lançada em 2016 pelo Internet Security Research Group (ISRG), que fornece certificados gratuitos de criptografia. Ou seja, enquanto você ainda se recuperava da ressaca de Carnaval, vários técnicos de TI tiveram que correr para que o tal inseto não aparecesse na goiaba. A certificação da Let's Encrypt funciona ~mais ou menos~ assim: a empresa fornece essa espécie de “comprovante”, que precisa ser atualizado de tempos em tempos. Caso você tente acessar um site que esteja com o certificado vencido, ele simplesmente não abre ou não funciona como deveria. O caldo engrossou na mesma semana em que era comemorada a bilionésima homologação feita pela autoridade, mas ela nem sequer teve tempo para festejar, pois precisava agir rapidamente para que sua reputação não escorresse pelo ralo.
Tá tranquilo, mas nada favorável
O bug funcionaria assim: a Let's Encrypt trabalha com o software Boulder, que renova automaticamente essa licença a cada 30 dias. Porém, após a primeira verificação, foi descoberto que o Boulder não iria fazer a segunda, ou seja, o certificado iria vencer e, a partir daí, um total de 3.048.289 de sites ficariam à deriva. O número de usuários que seriam afetados? Uma infinidade. Provavelmente você estaria nesse bolo e acharia que era problema no seu computador, na sua rede ou na sua falta de sorte mesmo, mas na realidade se tratava de algo nas cadeias de 0 e 1 da programação da internet. Segundo Josh Aas, diretor-executivo do ISRG, isso impactaria apenas 2,6% de seus atestados ativos, e a gravidade não seria tão alta. Não mesmo, Aas. Só 3 milhões de sites sairiam do ar, tá tudo susse – contém ironia. O grupo CA/Browser Forum, que estabelece padrões rígidos sobre o uso de certificados, deu 5 dias para o pessoal resolver o problema. Só que isso implicaria em revogar todos aqueles que foram lesados pela pane no sistema, então a Let's pensou em ignorar a ordem, mas isso também não era uma opção. O que fazer?
Foi só um susto, já passou
A emissão de novos certificados da Let's Encrypt foi desligada apenas dois minutos após a constatação do bug, mas, mesmo assim, os 3 milhões de sites já haviam sido afetados. Avisar todo mundo do problema seria difícil, por isso os principais clientes receberam um comunicado dizendo “Mals aê, galera, deu ruim”, mas em linguagem empresarial, claro. A galera mais endinheirada retrucou com um “Tá de boas, a gente tinha um plano B”. Mesmo assim, foram reeditados cerca de 15 mil correções em algumas horas - pouco para o tamanho da trama. Os maiores prejudicados seriam os sites menores. Felizmente, muitos deles também usavam outra espécie de certificação, operada pela Electronic Frontier Foundation, através do software Certbot, que renova a cada 60 dias. Assim, na terça-feira, o problema já estava resolvido para a maioria – menos para a Let's Encrypt, claro, que corria contra o tempo para respeitar o prazo dado pelo CA/Browser Forum. No mesmo dia, só que à noite, aos 30 minutos do deadline imposto, eles descobriram que 1,7 milhões de sites já tinham sido regularizados. O restante seria deixado com o erro para ver o que acontecia e, segundo Aas, o impacto seria bem pequeno. Tal como o Bug do Milênio, este foi apenas mais um sustinho que programadores passaram na última semana e que no fim não deu em nada – para a nossa alegria.
Fonte: The Brief