Поставщик сертификатов HTTPS Let’s Encrypt планирует отозвать около 2 млн SSL/TLS-сертификатов 28 января, поскольку они были выпущены ненадлежащим образом.
В сообщении на форуме инженер Let’s Encrypt по надежности сайта Джиллиан Тесса объяснила, что во вторник третья сторона сообщила о «двух нарушениях» в коде, реализующем метод проверки «TLS с использованием ALPN» (BRs 3.2.2.4.20, RFC). 8737) в Boulder, программном обеспечении для автоматической среды управления сертификатами (ACME).
«Все активные сертификаты, которые были выпущены и проверены с помощью запроса TLS-ALPN-01 до 00:48 UTC 26 января 2022 года, когда было развернуто наше исправление, считаются неправильно выпущенными», — пояснила Тесса. — «В соответствии с Политикой сертификатов Let’s Encrypt у нас есть 5 дней на отзыв, и мы начнем отзывать сертификаты в 16:00 UTC (19:00 мск) 28 января 2022 года».
По оценкам Let’s Encrypt, затронуто менее 1% активных сертификатов; это 2 млн из 221 млн активных сертификатов, выпущенных Let’s Encrypt.
Затронутые владельцы сертификатов будут уведомлены об отзыве по электронной почте, после чего им потребуется продление сертификата.
