Отзыв сертификатов Let's Encrypt

Через два дня Let’s Encrypt отзовёт миллионы сертификатов из-за бага в TLS-ALPN-01

Один из популярных бесплатных центров сертификации Let’s Encrypt с 28 января 2022 (эта пятница) начинает отзывать сертификаты SSL/TLS, выданные за последние 90 дней. Эти действия могут затронуть миллиноны сайтов, которые используют данные SSL-сертификаты.

Уточним, что некоммерческая организация Let's Encrypt подчиняется Internet Security Research Group (ISRG). ISSRG, как центр сертификации, выдает бесплатные криптографические сертификаты стандарта X.509, обеспечивающие шифрование передаваемых по сети данных.

Некоторые исследователи, изучившие репозиторий Let's Encrypt, проинформировали ISRG о двух проблемах (PDF) в имплементации метода валидации «TLS с использованием ALPN».

Чтобы исправить найденный недостаток, Let’s Encrypt потребовалось внести некоторые изменения в работу проверки TLS-ALPN-01.

«В 16:48 UTC во вторник, 25 января 2022 года, третья сторона сообщила Let's Encrypt / ISRG, что при изучении кодовой базы Boulder они заметили два случая несоответствия спецификации в нашей реализации метода проверки “TLS с использованием ALPN” (BRS 3.2.2.4.20, RFC 8737). В результате мы внесли два изменения 846 в то, как работает наша проверка вызовов TLS-ALPN-01.

Все активные сертификаты, которые были выданы и проверены с помощью TLS-ALPN-01 до 00:48 UTC 26 января 2022 года, когда было развернуто наше исправление, считаются выданными неправильно. В соответствии с CP Let's Encrypt у нас есть 5 дней для отзыва, и мы начнем отзывать сертификаты в 16:00 UTC 28 января 2022 года», — объяснили представители центра сертификации.

Получается, что 28 января около 19:00 MSK Let’s Encrypt начнёт приостанавливать проблемные сертификаты, которых затронула проблема в методе валидации TLS-ALPN-01. По оценкам сотрудников Let's Encrypt, данная проблема коснулась менее 1% от всех выданных сертификатов.

Учитывая, что активных сертификатов на сегодняшний день насчитывается более 221 млн, по данным организации Let's Encrypt, 1%, на деле, может значить миллионы отозванных сертификатов. НКО обещает уведомить по электронной почте всех, кого коснётся эта процедура.

 

 

Источник: https://community.letsencrypt.org/t/2022-01-25-issue-with-tls-alpn-01-validation-method/170450

Популярный центр сертификации Let’s Encrypt с 28 января 2022 (эта пятница) начинает отзывать сертификаты SSL / TLS, выпущенные за последние 90 дней. Пользователей предупреждают, что эта процедура может затронуть миллионы действующих сертификатов.

Источник: https://www.anti-malware.ru/news/2022-01-26-111332/38059
Популярный центр сертификации Let’s Encrypt с 28 января 2022 (эта пятница) начинает отзывать сертификаты SSL / TLS, выпущенные за последние 90 дней. Пользователей предупреждают, что эта процедура может затронуть миллионы действующих сертификатов.

Источник: https://www.anti-malware.ru/news/2022-01-26-111332/38059