Let’s Encrypt revocherà molti certificati SSL in due giorni

certificato ssl Let’s Encrypt inizierà a revocare alcuni certificati SSL/TLS emessi negli ultimi 90 giorni a causa di un bug, a partire dal 28 gennaio 2022.

La mossa potrebbe avere un impatto su milioni di certificati Let’s Encrypt attivi.

In qualità di autorità di certificazione senza scopo di lucro, Let’s Encrypt fornisce gratuitamente certificati X.509 per la crittografia Transport Layer Security.

Certificati ‘erroneamente emessi’ da revocare

Il 25 gennaio 2022, il gruppo Internet Security Research (ISRG) è stato informato da team che ha esaminato il repository di codice Boulder di Let’s Encrypt  che c’erano “due irregolarità” nell’implementazione da parte dell’autorità di certificazione del metodo di convalida “TLS using ALPN” [ 1 , 2 ].

Di conseguenza, l’autorità di certificazione ha dovuto apportare due modifiche al funzionamento della convalida della sfida TLS-ALPN-01.

“Tutti i certificati attivi che sono stati emessi e convalidati con la sfida TLS-ALPN-01 prima delle 00:48 UTC del 26 gennaio 2022, quando è stata implementata la nostra correzione, sono considerati emessi in modo errato”,  spiega Jillian, Let’s Encrypt Site Reliability Engineer (SRE).

Per rispettare la politica dei certificati Let’s Encrypt , che richiede all’autorità di certificazione di invalidare un certificato entro 5 giorni a determinate condizioni, l’organizzazione no profit inizierà a revocare i certificati alle 16:00 UTC del 28 gennaio 2022.

Si noti, tuttavia, che non tutti i certificati sono interessati dall’implementazione impropria del metodo di convalida “TLS using ALPN”.

Questa revoca pianificata si applicherà solo ai certificati emessi con il metodo di convalida TLS-ALPN-01 errato.

“Stimiamo che meno dell’ 1% dei certificati attivi sia interessato. Gli abbonati interessati da revoche riceveranno notifiche e-mail se il loro account ACME contiene un indirizzo e-mail valido”, spiega ulteriormente l’ingegnere.

A novembre 2021, il numero di tutti i certificati Let’s Encrypt attivi ha superato i 221 milioni, pertanto, il numero di certificati attivi interessati (1% o meno) potrebbe toccare i milioni, se questi fossero emessi con la convalida TLS-ALPN-01 errata.

I proprietari di siti con i certificati Let’s Encrypt interessati segnalano di aver ricevuto notifiche e-mail, chiedendo loro di rinnovare i loro certificati quando la revoca sta per iniziare.

Se hai ricevuto l’e-mail, il tuo account ha ottenuto con successo almeno un certificato negli ultimi 90 giorni che è stato convalidato utilizzando la sfida TLS-ALPN-01.

Tutti i certificati emessi negli ultimi 90 giorni e convalidati con TLS-ALPN-01 challenge sono interessati.

È necessario forzare il rinnovo del certificato in base alle indicazioni del client ACME.

Se il cliente richiede di apportare una modifica alla configurazione, bisogna ricordarsi di rinnovare successivamente il certificato.

Nel 2020, Let’s Encrypt aveva revocato milioni di certificati dopo aver appreso di un altro bug di convalida.

Dato il breve preavviso, non tutti gli utenti potrebbero essere contenti della mossa improvvisa ma necessaria di Let’s Encrypt.

Il lato positivo, tuttavia, è che coloro che utilizzano soluzioni di gestione automatizzata dei certificati possono stare tranquilli.

Se hai bisogno di aiuto o vuoi maggiori informazioni, contatta il nostro supporto tecnico all’indirizzo mail o al numero +3906452216038, troverai un team di esperti in grado di rispondere ad ogni tua esigenza.

4.9/5 - (11 votes)

You may also like