Let’s Encrypt va devoir révoquer des millions de certificats le 28 janvier

À cause d'un problème de configuration de son autorité de certification, Let's Encrypt va devoir révoquer des millions de certificats SSL à partir du vendredi 28 janvier à 17h. Que se passe-t-il ?

Pour rappel, Let's Encrypt est une autorité de certification appartenant à l'Internet Security Research Group et qui a pour objectif de délivrer gratuitement des certificats X.509 pour les sites Internet, afin de faciliter le passage en HTTPS.

Il s'avère qu'un tiers a analysé le dépôt GitHub "Let's Encrypt/Boulder" et il a découvert deux irrégularités au sein de la méthode de validation "TLS using ALPN" implémentée au sein de l'autorité de certification Let's Encrypt. De ce fait, les équipes de Let's Encrypt ont pu constater le problème et le corriger au sein de la méthode de validation nommée "TLS-ALPN-01".

Jillian, de l'équipe Let's Encrypt, précise que : "Tous les certificats actifs qui ont été émis et validés avec le challenge TLS-ALPN-01 avant 00:48 UTC le 26 janvier 2022, au moment où notre correctif a été déployé, sont considérés comme incorrects". Afin de rester conforme à la politique de certificats Let's Encrypt, qui exige que l'autorité de certification invalide un certificat dans les 5 jours sous certaines conditions, l'organisme Let's Encrypt va commencer à révoquer les certificats à 16h00 UTC le 28 janvier 2022. Cela correspond à 17h00 en France, ce vendredi 28 janvier 2022.

  • Attention, tous les certificats ne sont pas concernés !

Les certificats qui vont être révoqués sont seulement ceux qui ont utilisé la méthode de validation "TLS-ALPN-01" correspondante à "TLS using ALPN", et qui ont moins de 90 jours (la durée de validité d'un certificat Let's Encrypt est de 90 jours).

D'après Jillian, cela correspond à environ 1% des certificats actifs, mais comme Let's Encrypt en compte plus de 221 millions, cela va quand même représenter quelques millions de certificats !

Pour aider les utilisateurs à renouveler leur certificat, Let's Encrypt a mis en place un post dédié sur son forum : Renouvellement certificat Let's Encrypt. En fait, vous devez forcer le renouvellement du certificat à partir de votre client ACME : certbot, par exemple.

Si vous utilisez Let's Encrypt et que vous ne savez pas trop si votre certificat a été généré via cette méthode de validation, sachez qu'un e-mail d'avertissement a été envoyé à tous les utilisateurs concernés. Il ne reste plus qu'à consulter la boite aux lettres renseignée au moment de la génération du certificat pour en avoir le cœur net.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3882 posts and counting.See all posts by florian

2 thoughts on “Let’s Encrypt va devoir révoquer des millions de certificats le 28 janvier

  • Merci pour l’info.
    J’utilise un certificat Let’s Encrypt sur mon NAS Synology (généré et activé depuis celui-ci)
    Comment puis-je savoir si je suis concerné ?
    Let’s Encrypt ne dispose pas de mon adresse mail pour m’avertir.
    J’ai regardé les propriétés du certificat via le navigateur en me connectant, je n’ai pas vu de trace de TLS-ALPN-01
    Merci 🙂

    Répondre
    • Les San Synology utilisent les jetons via le défi http-01.

      Répondre

Répondre à Gilles Annuler la réponse

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.