Починаючи з 28 січня 2022 року Let's Encrypt почне відкликати деякі сертифікати SSL/TLS, видані впродовж останніх 90 днів через помилку.
Як некомерційний центр сертифікації, яким керує Internet Security Research Group (ISRG), Let's Encrypt безплатно надає сертифікати X.509 для шифрування Transport Layer Security.
Третя сторона, яка перевірила репозиторій коду Boulder Let's Encrypt повідомила групі ISRG, що центр сертифікації допустив два відхилення від норми в реалізації методу перевірки «TLS з використанням ALPN». (1, 2)
Тож центр сертифікації повинен був внести дві зміни до методу перевірки TLS-ALPN-01.
«Усі активні сертифікати, які були видані та перевірені за допомогою методу TLS-ALPN-01 до 00:48 UTC 26 січня 2022 року, коли було розгорнуто наше виправлення, вважаються недійсними», — пояснює Джилліан, інженер із надійності Let's Encrypt (SRE).
Щоб відповідати Політиці сертифікатів Let's Encrypt, яка вимагає від центру сертифікації визнати сертифікат недійсним впродовж 5 днів за певних умов, неприбуткова організація почне відкликати сертифікати о 16:00 UTC 28 січня 2022 року.
Однак проблема стосується не всіх сертифікатів перевірених методом «TLS з використанням ALPN». Це заплановане скасування буде застосовано лише до сертифікатів, виданих із помилковим методом перевірки TLS-ALPN-01.
«За нашими підрахунками, це стосується (менше ніж) 1% активних сертифікатів. Передплатники, які постраждали через відкликання, отримають сповіщення електронною поштою, якщо їхній обліковий запис ACME містить дійсну адресу електронної пошти. Якщо ви постраждали від цього анулювання і потребуєте допомоги з відновленням вашого сертифіката, будь ласка, ставте питання у цьому обговоренні», — пояснює далі інженер.
Станом на листопад 2021 року кількість всіх активних сертифікатів Let's Encrypt перевищила 221 мільйон. Тобто загалом це може бути близько 2 мільйонів сертифікатів.
Власники сайтів з такими сертифікатами від Let's Encrypt повідомляють про отримання сповіщень електронною поштою, в яких зазначено необхідність поновити сертифікати, оскільки незабаром їх буде анульовано.
«Якщо ви отримали електронний лист, значить, ваш обліковий запис успішно отримав принаймні один сертифікат за останні 90 днів, який був перевірений за допомогою перевірки TLS-ALPN-01», — пояснює Let's Encrypt у згаданому вже обговоренні.
«Проблема стосується всіх сертифікатів, виданих за останні 90 днів і підтверджених методом TLS-ALPN-01. Вам потрібно (примусово) оновити сертифікат відповідно до вказівок клієнта ACME. Якщо ваш клієнт вимагає від вас змінити конфігурацію, не забудьте повернути її після поновлення вашого сертифіката!»
У 2020 році Let's Encrypt відкликала мільйони сертифікатів, дізнавшись про іншу помилку перевірки.
З огляду на короткий термін, деякі користувачі будуть незадоволені раптовим, але необхідним кроком Let's Encrypt.
З іншого боку, ті, хто використовує автоматизовані рішення для керування сертифікатами, як-от Caddy Web Server, можуть бути спокійні.
«Сайти, які використовують Caddy версії 2.4.2 або новішої, не повинні робити жодних дій, коли відкликаються автоматизовані сертифікати. Спіть спокійно», – жартівливо пише команда Caddy Web Server.
«Caddy автоматично зшиває OCSP для всіх відповідних сертифікатів. Він оновить зшивку приблизно на середині терміну її дії. Якщо наступний стан «Відкликано», Caddy негайно замінить сертифікат.»
Ще немає коментарів