Abonner
NETTVERK OG INFRASTRUKTUR

Millioner av Let's Encrypt-sertifikater trekkes tilbake

Kan føre til utilgjengelige nettsteder.

Let's Encrypt må trekke tilbake flere millioner sertifikater i kveld. Det kan berøre mange nettsteder og andre tjenester.
Let's Encrypt må trekke tilbake flere millioner sertifikater i kveld. Det kan berøre mange nettsteder og andre tjenester. Skjermbilde: digi.no
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
4. mars 2020 - 09:49

Bare dager etter at Let's Encrypt kunne meddele at tjenesten har utstedt over en milliard sertifikater til nettstedeiere og andre over hele verden, kunngjorde Let's Encrypt at det har blitt funnet en feil tjenestens «Certification Authority Authorization»-programvare, Boulder. Feilen gjør at det har blitt utstedt en god del TLS-sertifikater som en i praksis ikke kan være sikre på at er legitime. 

Tre millioner

I en oppdatering som kom i går, ble det klart at drøyt 3 millioner sertifikater må ugyldiggjøres med svært kort varsel, det vil si fra klokken 21:00 i kveld, norsk tid.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Teknologi sikrer 100 års ekstra levetid på ingeniør-mesterverket

De aktuelle sertifikatene utgjør bare 2,6 prosent av de rundt 116 millioner aktive Let's Encrypt-sertifikatene, men konsekvensene for de berørte kan bli store, dersom de ikke forbereder seg. 

Fra det øyeblikket en nettleser blir klar over at sertifikatet til et nettsted er trukket tilbake, vil nettleseren vise en advarsel om at nettstedet har et ugyldig sertifikat. Det vil vanligvis hindre at brukeren kommer inn på nettstedet.

Sjekk og oppdater

Heldigvis er det enkelt å forhindre at dette skjer. 

Leder for Telia-klubben i El- og IT-forbundet, Merethe Shukla, sammen med forbundsleder Geir Ove Kulseth. De er fornøyde med at Telia har snudd.
Les også

Telia snur i nedbemanningsstrid

Først bør du sjekke om nettstedene du er ansvarlig for, er berørt. Det kan enklest gjøres ved å besøke denne websiden og taste inn domenenavnet

Dersom domenet er berørt, eller du bare vil være på den sikre siden, løses det hele ved å fornye sertifikatet til de berørte domenene. I praksis gjøres det ved å kjøre ACME-klienten som de fleste uansett kjører når sertifikatene fra Let's Encrypt skal fornyes. 

Det finnes mange ulike ACME-klienter, men mange av Let's Encrypt-brukerne benytter trolig Certbot. For å tvinge fram en fornying av sertifikatene med denne, kan man bruke følgende kommando i en kommandolinje: 

certbot renew --force-renewal

Mer enn dette skal det normalt ikke være nødvendig å gjøre, men fordi fristen for å gjøre dette er kort, vil det trolig være mange som ikke har fått med seg situasjonen som har oppstått. Derfor må man regne med mange nettsteder vil bli utilgjengelige en periode etter at de berørte sertifikatene trekkes tilbake. 

Detaljer om hva som egentlig var galt med Boulder-programvaren, finnes i dette innlegget.

Kommunikasjonssjef Andreas Bibow Handeland i Bilimportørenes Landsforening er frustrert over at de ikke har fått svar fra digitaliseringsdepartementet på sin forespørsel om et møte for å diskutere konsekvensene bilbransjen frykter når de norske 2G-nettet stenger etter 2025.
Les også

Advarer mot å stenge 2G-nettet. Nå vil ministeren ha svar fra Telenor og Telia

Les mer om:
LET'S ENCRYPTNETTVERK OG INFRASTRUKTURSIKKERHETSSERTIFIKATER
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
    En tjeneste fra