Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Let’s Encrypt в срочном порядке отзовет большое количество SSL-сертификатов

27/01/22

lets encryptЦентр сертификации Let's Encrypt с 28 января 2022 года в срочном порядке отзовет ряд сертификатов SSL/TLS, выданных за последние 90 дней. Этот шаг может повлиять на миллионы активных сертификатов Let's Encrypt.

Как некоммерческий центр сертификации под управлением некоммерческой организации Internet Security Research Group (ISRG), Let's Encrypt бесплатно предоставляет сертификаты X.509 для шифрования Transport Layer Security.

ИБ-эксперты, изучившие репозиторий кода Let’s Encrypt в Boulder, сообщили ISRG о «двух нарушениях » в реализации центра сертификации метода проверки «TLS с использованием ALPN». Центру сертификации пришлось внести два изменения в то, как работает его проверка вызовов TLS-ALPN-01.

«Все активные сертификаты, которые были выпущены и проверены с помощью теста TLS-ALPN-01 до 26 января 2022 года, когда было развернуто наше исправление, считаются выпущенными некорректно», — пояснили специалисты Let’s Encrypt.

В соответствии с политикой сертификатов Let's Encrypt, которая требует, чтобы центр сертификации аннулировал сертификат в течение 5 дней при определенных условиях, некоммерческая организация начнет отзывать сертификаты 28 января 2022 года. По оценкам экспертов, затронуто менее 1% активных сертификатов.

По состоянию на ноябрь 2021 года количество всех активных сертификатов Let's Encrypt превысило 221 млн. Таким образом, количество затронутых активных сертификатов (1% или меньше) может достигать миллионов, если они были выпущены с некорректной проверкой TLS-ALPN-01.

Владельцы сайтов с затронутыми сертификатами Let's Encrypt сообщают о получении уведомлений по электронной почте с указанием обновить свои сертификаты.

«Если вы получили электронное письмо, значит, ваша учетная запись получила по крайней мере один сертификат за последние 90 дней, который был проверен с помощью вызова TLS-ALPN-01», — объясняет Let’s Encrypt.

С другой стороны, пользователи автоматизированных решений для управления сертификатами, таких как Caddy Web Server, могут быть спокойны. Сайты, использующие Caddy версии 2.4.2 или младше не должны предпринимать никаких действий при отзыве автоматических сертификатов.

Темы:КибербезопасностьОтрасльSSL-сертификатыКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...