Millioner af certifikater skal udskiftes hos Lets Encrypt på grund af sikkerhedsfejl fra og med i dag
I overmorgen fredag 28/01/2022 kan den gratis udsteder af internet-certifikater Let’s Encrypt begynde at slette eller opdatere en række af brugernes certifikater. Dette skyldes en fejl som selskabet er blevet gjort opmærksom på. Selskabet udsteder certifikater udelukkende på grund af en bekræftelse fra en email tilhørende det domæne som SSL certifikatet udstedes til. Fra november 2021 oversteg antallet af aktive Let’s Encrypt-certifikater 221 millioner SSL certifikater.
I går blev ISRG informeret af en tredjepart, der undersøgte Let’s Encrypt’s, at der var “to uregelmæssigheder” i nøglemyndighedens implementering af “TLS ved hjælp af ALPN” valideringsmetode.
Nøglecenteret måtte derfor foretage i, hvordan valideringen af TLS-ALPN-01-udfordringen fungerer.
“Alle aktive certifikater, der blev udstedt og valideret med TLS-ALPN-01-udfordringen før 00:48 UTC den 26. januar 2022, da vores rettelse blev implementeret, betragtes som fejludstedt,” og “Vi anslår, at [mindre end] 1% af de aktive certifikater er berørt. Abonnenter, der er berørt af tilbagekaldelser, modtager e-mail-meddelelser, hvis deres ACME-konto indeholder en gyldig e-mail-adresse. Hvis du er berørt af denne tilbagekaldelse og har brug for hjælp til at forny dit certifikat, så stil spørgsmål i denne tråd,”
Det siger Let’s Encrypt Site Reliability Engineer (SRE), Jillian.
“Vi vil give flere detaljer om denne hændelse i de næste par dage.”
For at overholde Let’s Encrypt certifikat politikken, kræves der, at nøglecenteret skal ugyldiggøre et certifikat inden for 5 dage under visse betingelser, og det påbegyndes non-profit certifikater kl. 16:00 UTC den 28. januar 2022.
Bemærk dog, at ikke alle certifikater påvirkes af den ukorrekte implementering af valideringsmetoden “TLS ved hjælp af ALPN”. Denne planlagte tilbagekaldelse gælder kun for certifikater, der er udstedt med den fejlbehæftede TLS-ALPN-01-valideringsmetode.
Derfor kan antallet af berørte aktive certifikater (der beregnes som angivet 1 % eller mindre) muligvis røre millioner – hvis disse blev udstedt med den fejlbehæftede validering af TLS-ALPN-01-udfordringen.
Brugere, der modtager e-mail-meddelelser
Webstedsejere med de berørte Let’s Encrypt-certifikater rapporterer, at de modtager e-mail-meddelelser og instruerer dem i at forny deres certifikater, når tilbagekaldelsen er ved at starte i dag eller weekenden.
Beskeden ser nogenlunde sådan ud: (sakset fra Twitter)
“Hvis du har modtaget e-mailen, har din konto med succes opnået mindst ét certifikat inden for de sidste 90 dage, der blev valideret ved hjælp af TLS-ALPN-01-udfordringen,” forklarer Let’s Encrypt i ovennævnte tråd.
“Alle certifikater, der er udstedt inden for de sidste 90 dage og valideret med TLS-ALPN-01 udfordring, påvirkes. Du skal (tvinge) forny certifikatet i henhold til din ACME-klients anvisninger. Hvis din klient kræver, at du foretager en konfigurationsændring, skal du huske at vende tilbage, når certifikatet er fornyet!”
I 2020 havde Let’s Encrypt tilbagekaldt millioner af certifikater efter at have fået oplyst om en anden valideringsfejl.
Det er naturlgvis utilfredsstillende for brugerne og vi i ICARE har aldrig oplevet dette med andre SSL udbydere.