Let's Encrypt отзовет около 2 миллионов сертификатов HTTPS

Некоммерческая организация Let’s Encrypt предоставляющая людям бесплатные SSL/TLS-сертификаты для веб-сайтов, планирует отозвать некоторое количество своих сертификатов, поскольку они были выпущены ненадлежащим образом.

В сообщении на форуме сообщества Let's Encrypt инженер по надежности сайта Джиллиан объяснила, что компания получила сообщение о «двух нарушениях» в коде, реализующем метод проверки «TLS использующая ALPN» (BRs 3.2.2.4.20, RFC 8737) в Boulder, его программном обеспечении для Автоматической Среды Управления Сертификатами (ACME).

Начнем отзывать сертификаты 28 января 2022 года».

«Все активные сертификаты, которые были выпущены и проверены с помощью запроса TLS-ALPN-01 до 26 января 2022 года, когда было развернуто наше исправление, считаются неправильно выпущенными», — пояснила Джиллиан. «В соответствии с Let’s Encrypt CP [Политика сертификатов] у нас есть 5 дней на отзыв сертификатов, и мы начнем отзывать сертификаты 28 января 2022 года».

По оценкам Let’s Encrypt, затронуто менее одного процента активных сертификатов; это всё равно большое количество — около двух миллионов, учитывая, что в настоящее время существует около 221 миллиона активных сертификатов, выпущенных Let's Encrypt.

Владельцы сертификатов, которых затронули данные нарушения будут уведомлены об отзыве сертификатов по электронной почте (если она была предоставлена), после чего потребуется замена сертификата.