Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Let’s Encrypt в срочном порядке отзовет большое количество SSL-сертификатов

27/01/22

lets encryptЦентр сертификации Let's Encrypt с 28 января 2022 года в срочном порядке отзовет ряд сертификатов SSL/TLS, выданных за последние 90 дней. Этот шаг может повлиять на миллионы активных сертификатов Let's Encrypt.

Как некоммерческий центр сертификации под управлением некоммерческой организации Internet Security Research Group (ISRG), Let's Encrypt бесплатно предоставляет сертификаты X.509 для шифрования Transport Layer Security.

ИБ-эксперты, изучившие репозиторий кода Let’s Encrypt в Boulder, сообщили ISRG о «двух нарушениях » в реализации центра сертификации метода проверки «TLS с использованием ALPN». Центру сертификации пришлось внести два изменения в то, как работает его проверка вызовов TLS-ALPN-01.

«Все активные сертификаты, которые были выпущены и проверены с помощью теста TLS-ALPN-01 до 26 января 2022 года, когда было развернуто наше исправление, считаются выпущенными некорректно», — пояснили специалисты Let’s Encrypt.

В соответствии с политикой сертификатов Let's Encrypt, которая требует, чтобы центр сертификации аннулировал сертификат в течение 5 дней при определенных условиях, некоммерческая организация начнет отзывать сертификаты 28 января 2022 года. По оценкам экспертов, затронуто менее 1% активных сертификатов.

По состоянию на ноябрь 2021 года количество всех активных сертификатов Let's Encrypt превысило 221 млн. Таким образом, количество затронутых активных сертификатов (1% или меньше) может достигать миллионов, если они были выпущены с некорректной проверкой TLS-ALPN-01.

Владельцы сайтов с затронутыми сертификатами Let's Encrypt сообщают о получении уведомлений по электронной почте с указанием обновить свои сертификаты.

«Если вы получили электронное письмо, значит, ваша учетная запись получила по крайней мере один сертификат за последние 90 дней, который был проверен с помощью вызова TLS-ALPN-01», — объясняет Let’s Encrypt.

С другой стороны, пользователи автоматизированных решений для управления сертификатами, таких как Caddy Web Server, могут быть спокойны. Сайты, использующие Caddy версии 2.4.2 или младше не должны предпринимать никаких действий при отзыве автоматических сертификатов.

Темы:КиберзащитаОтрасльSSL-сертификатыКиберугрозы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...