Resumo
TrustAsia anunciou a revogação de 143 certificados SSL/TLS após descobrir uma falha no seu serviço LiteSSL ACME que permitia a reutilização indevida de dados de validação de domínio entre contas ACME. A emissão foi suspensa, o código corrigido e todas as autorizações ACME em produção foram resetadas para REVOKED.
Descoberta e escopo
Segundo o relato publicado pelo veículo original e associado ao ticket do Mozilla Bugzilla #2011713, a vulnerabilidade foi comunicada por membros da comunidade em 21 de janeiro de 2026. A falha afetou certificados emitidos via protocolo ACME a partir de 29 de dezembro de 2025.
Vetor técnico
TrustAsia descreveu a causa como um erro lógico no tratamento dos objetos de Authorization do serviço LiteSSL ACME. Em consequência, dados de validação — que deveriam ser únicos por contexto de conta — foram reaproveitados entre diferentes contas ACME, permitindo emissão fora do escopo de validação esperado.
Resposta e cronologia
- 21/01/2026 — 14:55 (UTC+8): equipe de compliance recebeu o reporte via comunidade;
- 15:10: emissão ACME suspensa e confirmação preliminar do problema;
- 21:21: identificação dos 143 certificados afetados e início de revogação em lote;
- 21:41: código corrigido e deploy em produção;
- 22:35: todas as autorizações ACME em produção foram alteradas de VALID para REVOKED, exigindo revalidação pelos clientes;
- 23:00: emissão externa de ACME restabelecida.
Impacto e alcance
O incidente envolve 143 certificados emitidos no período vulnerável. TrustAsia afirma que os certificados identificados foram revogados e que o serviço foi corrigido. A reportagem original indica que três dos 143 já estavam revogados antes da ação em lote; 140 certificados válidos foram revogados na operação.
Conformidade e implicações
TrustAsia reconheceu que o incidente configura não conformidade com os requisitos do CA/Browser Forum Baseline Requirements (TLS BR v2.2.2), em particular a seção 3.2.2.4 que exige validação de cada FQDN antes da emissão. A autoridade de certificação informou que publicará um relatório completo no thread do Mozilla Bugzilla com análise de causa raiz e prazo definitivo de não conformidade.
Riscos operacionais para operadores e clientes
A reutilização indevida de autorizações de validação pode permitir emissão de certificados para domínios sem a validação apropriada no contexto da conta solicitante. Embora TrustAsia tenha revogado os certificados identificados, a ação obriga clientes que dependem dessas emissões a revalidar — um processo que pode impactar operações automatizadas que integram renovação por ACME.
Evidências e limites
As informações públicas até o momento são provenientes do comunicado técnico e do cronograma divulgado por TrustAsia, e do registro no Mozilla Bugzilla. TrustAsia anunciou correções e revogações, mas não publicou (ainda) o relatório técnico completo com logs detalhados ou indicadores de comprometimento além do número total de certificados afetados e do período vulnerável.
O que falta
Falta, até a publicação desta matéria, o relatório técnico completo prometido por TrustAsia no Bugzilla com a análise forense detalhada e a identificação de possíveis incidentes decorrentes da emissão indevida (se houver). Não há indicação pública até o momento de exploração maliciosa em larga escala ou de uso em campanhas ativas; a ação tomada foi de mitigação e conformidade.
Recomendação prática
Equipes responsáveis por infraestruturas que automatizam emissão/renovação via ACME e clientes da TrustAsia devem:
- Verificar se seus certificados estavam entre os revogados;
- Confirmar revalidação e renovação onde necessário;
- Avaliar impactes em pipelines CI/CD e rotinas de provisionamento que dependam de autorizações ACME persistentes;
- Aguardar o relatório completo no Mozilla Bugzilla para ações forenses adicionais.
Fonte
Relato e cronologia baseados no comunicado publicado por Cyber Security News e no ticket Mozilla Bugzilla #2011713, conforme citado pela fonte.