Let’s Encrypt révoque de nombreux certificats SSL en deux jours

ssl

Let’s Encrypt commencera à révoquer certains certificats SSL/TLS émis au cours des 90 derniers jours à compter du 28 janvier 2022. Cette décision pourrait avoir un impact sur des millions de certificats Let’s Encrypt actifs.

En tant qu’autorité de certification à but non lucratif gérée par Internet Security Research Group (ISRG), Let’s Encrypt fournit gratuitement des certificats X.509 pour le chiffrement Transport Layer Security.

Les certificats « mal délivrés » seront révoqués

Hier, l’ISRG a été informé par un tiers qui a examiné Let’s Encrypt’s Dépôt de code Boulder qu’il y avait « deux irrégularités » dans la mise en œuvre par l’autorité de certification de la méthode de validation « TLS utilisant ALPN » [1, 2].

Par conséquent, l’autorité de certification a dû faire deux changements sur le fonctionnement de sa validation par challenge TLS-ALPN-01.

« Tous les certificats actifs qui ont été émis et validés avec le défi TLS-ALPN-01 avant 00h48 UTC le 26 janvier 2022 lorsque notre correctif a été déployé sont considérés comme mal émis », explique Let’s Encrypt Ingénieure en fiabilité du site (SRE), Jillian.

Pour se conformer à Let’s Encrypt Politique de certificatqui oblige l’autorité de certification à invalider un certificat dans les 5 jours sous certaines conditions, l’organisation à but non lucratif commencera à révoquer les certificats à 16h00 UTC le 28 janvier 2022.

Notez cependant que tous les certificats ne sont pas affectés par la mauvaise implémentation de la méthode de validation « TLS utilisant ALPN ». Cette révocation planifiée ne s’appliquera qu’aux certificats émis avec la méthode de validation défectueuse TLS-ALPN-01.

« Nous estimons [less than] 1% des certificats actifs sont concernés. Les abonnés concernés par les révocations recevront des notifications par e-mail si leur compte ACME contient une adresse e-mail valide. Si vous êtes concerné par cette révocation et avez besoin d’aide pour renouveler votre certificat, veuillez poser des questions dans ce fil« , explique encore l’ingénieur.

« Nous fournirons plus de détails sur cet incident dans les prochains jours. »

En novembre 2021, le nombre de tous les certificats Let’s Encrypt actifs dépassait 221 millions, comme le montre EZpublish-france.fr.

Par conséquent, le nombre de certificats actifs concernés (1 % ou moins) pourrait éventuellement toucher des millions, s’ils étaient émis avec la validation de défi TLS-ALPN-01 défectueuse.

Encryptons les statistiques de croissance
Let’s Encrypt statistiques de croissance et certificats actifs (Let’s Encrypt)

Utilisateurs recevant des notifications par e-mail

Les propriétaires de sites avec les certificats Let’s Encrypt concernés signalent avoir reçu des notifications par e-mail, leur demandant de renouveler leurs certificats car la révocation est sur le point d’entrer en vigueur.

Notification par e-mail Let's Encrypt
Let’s Encrypt envoie des notifications par e-mail (Twitter)

« Si vous avez reçu l’e-mail, votre compte a obtenu avec succès au moins un certificat au cours des 90 derniers jours qui a été validé à l’aide du défi TLS-ALPN-01 », explique Let’s Encrypt dans le fil susmentionné.

« Tous les certificats émis au cours des 90 derniers jours et validés avec le challenge TLS-ALPN-01 sont concernés. Vous devez (forcer) le renouvellement du certificat conformément aux instructions de votre client ACME. Si votre client vous demande de modifier la configuration, n’oubliez pas revenir après le renouvellement de votre certificat ! »

Compte tenu du court préavis, tous les utilisateurs peuvent ne pas être satisfaits avec le mouvement soudain mais nécessaire de Let’s Encrypt.

Du bon côté, cependant, ceux qui utilisent des solutions de gestion de certificats automatisées comme Caddy Web Server peuvent se reposer tranquillement.

« Les sites utilisant Caddy v2.4.2 ou une version plus récente ne devraient pas avoir à prendre de mesures lorsque les certificats automatisés sont révoqués. Profitez de votre sommeil. » rabatteurs l’équipe derrière Caddy Web Server.

« Caddy agrafe automatiquement OCSP pour tous les certificats pertinents. Il actualisera l’agrafe à mi-chemin de sa période de validité. Si le statut suivant est RévoquéCaddy remplacera immédiatement le certificat. »