Let's Encrypt revocará muchos certificados SSL en dos días

Let's Encrypt comenzará a revocar algunos certificados SSL/TLS emitidos en los últimos 90 días a partir del 28 de enero de 2022. La medida podría afectar a millones de certificados activos de Let's Encrypt.

Como autoridad de certificación sin fines de lucro administrada por Internet Security Research Group (ISRG), Let's Encrypt proporciona certificados X.509 gratuitos para el cifrado de seguridad de la capa de transporte.

Certificados 'emitidos incorrectamente' a revocar

Ayer, un tercero que revisó el repositorio de códigos de Boulder de Let's Encrypt informó al ISRG que había "dos irregularidades" en la implementación por parte de la autoridad de certificación del método de validación "TLS usando ALPN". [1, 2].

Como resultado, la autoridad de certificación tuvo que realizar dos cambios en el funcionamiento de la validación de desafío TLS-ALPN-01.

"Todos los certificados activos que se emitieron y validaron con el desafío TLS-ALPN-01 antes de las 00:48 UTC del 26 de enero de 2022, cuando se implementó nuestra corrección, se consideran emitidos incorrectamente", explica Jillian, ingeniera de confiabilidad del sitio de Let's Encrypt (SRE).

Para cumplir con la política de certificados de Let's Encrypt, que requiere que la autoridad de certificación invalide un certificado dentro de los 5 días bajo ciertas condiciones, la organización sin fines de lucro comenzará a revocar certificados a las 16:00 UTC del 28 de enero de 2022.

Tenga en cuenta, sin embargo, que no todos los certificados se ven afectados por la implementación incorrecta del método de validación "TLS usando ALPN". Esta revocación programada solo se aplicará a los certificados emitidos con el método de validación TLS-ALPN-01 incorrecto.

"Nosotros estimamos [less than] El 1% de los certificados activos se ven afectados. Los suscriptores afectados por las revocaciones recibirán notificaciones por correo electrónico si su cuenta de ACME contiene una dirección de correo electrónico válida. Si se ve afectado por esta revocación y necesita ayuda para renovar su certificado, haga preguntas en este hilo ", explica además el ingeniero.

"Proporcionaremos más detalles sobre este incidente en los próximos días".

A partir de noviembre de 2021, la cantidad de todos los certificados Let's Encrypt activos superó los 221 millones, según lo visto por BleepingComputer.

Por lo tanto, la cantidad de certificados activos afectados (1% o menos) podría llegar a millones si se emitieran con la validación TLS-ALPN-01 incorrecta.

Usuarios que reciben notificaciones por correo electrónico

Los propietarios de sitios con certificados de Let's Encrypt afectados informan que han recibido notificaciones por correo electrónico, pidiéndoles que renueven sus certificados cuando la revocación esté a punto de comenzar.

"Si recibió el correo electrónico, su cuenta obtuvo con éxito al menos un certificado en los últimos 90 días que se validó mediante el desafío TLS-ALPN-01", explica Let's Encrypt en el hilo anterior.

"Todos los certificados emitidos en los últimos 90 días y validados con desafío TLS-ALPN-01 se ven afectados. Se requiere la renovación del certificado (forzado) de acuerdo con las instrucciones del cliente ACME. Si el cliente solicita realizar un cambio de configuración, recuerde regresar después ¡renovación de certificado!”

Dado el corto plazo, no todos los usuarios pueden estar contentos con el movimiento repentino pero necesario de Let's Encrypt.

Sin embargo, en el lado positivo, aquellos que utilizan soluciones de administración de certificados automatizadas como Caddy Web Server pueden estar tranquilos.

"Los sitios que utilizan Caddy v2.4.2 o posterior no deberían necesitar tomar ninguna medida cuando se revocan los certificados automáticos. Disfrute de su sueño". promociona el equipo detrás de Caddy Web Server.

"Caddy grapa automáticamente OCSP para todos los certificados relevantes. Actualiza la grapa a la mitad de su período de validez. Si el siguiente estado es revocadoCaddy reemplazará inmediatamente el certificado ".