SIKKERHET

Let's Encrypt må kalle tilbake millioner av sertifikater

De aller flere av abonnentene er likevel ikke berørt.

Let's Encrypt må kalle tilbake rundt 2 millioner TLS-sertifikater. Dette skjer på fredag denne uken og kan berøre både nettsteder og andre tjenester.
Let's Encrypt må kalle tilbake rundt 2 millioner TLS-sertifikater. Dette skjer på fredag denne uken og kan berøre både nettsteder og andre tjenester. Skjermbilde: Digi.no
Harald BrombachHarald BrombachNyhetsleder
27. jan. 2022 - 08:55

Det har blitt oppdaget et par feil implementeringen av den ene av metodene som den mye brukte sertifikatutstederen Let's Encrypt støtter i forbindelse med førstegangsutstedelser av sertifikater. Sertifikatene som er utstedt som følge av at den aktuelle metoden er benyttet, vil bli trukket tilbake fredag denne uken.

Tre alternative utfordringer

Tjenesten støtter tre ulike «utfordringer» for at abonnentene skal kunne bevise at de kontrollerer domenet de ønsker et sertifikat til. Det vanligste er at det legges en midlertidig kodesnutt på forsiden til et nettsted tilhørende det aktuelle domenet, men det er også mulig å bruke DNS-oppføringer eller TLS som bevis.

Det er de av abonnentene som har benyttet den sistnevnte utfordringen, som formelt heter TLS-ALPN-01, som nå er berørt – dersom valideringen av sertifikatet har skjedd før klokken 00.48 UTC den 26. januar 2022.

Trolig et par millioner

Det antas at under én prosent av de rundt 220 millioner aktive sertifikatene, er berørt og dermed må registreres på nytt. Det kan dermed dreie seg om mer enn to millioner sertifikater. De av de berørte abonnentene som har oppgitt en gyldig e-postadresse i sin ACME-konto (Automatic Certificate Management Environment), skal motta en e-post om dette.

Ved denne typen feil, må Let's Encrypt i henhold til sine regler begynne å kalle tilbake de berørte sertifikatene etter senest fem dager etter at de ble klar over feilen. Dette vil skje fra klokken 16.00 UTC den 28. januar 2022. 

Kundene er berørt av dette, vil måtte registrere et helt nytt sertifikat. Dette kan kreve visse forberedelser, og det er ikke lang tid igjen før de opprinnelige sertifikatene blir ugyldige, så det kan være fornuftig å gjøre dette så raskt som mulig. 

Straks sertifikatene har blitt kalt tilbake, vil det kunne oppstå problemer med tjenestene hvor sertifikatene benyttes.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.