Let's encrypt è un authority di certificazione no profit di Internet Security Research Group (ISRG): fornisce gratuitamente le certificazioni per la criptazione TLS sui siti web ed è popolarissima. Attualmente conta oltre 221 milioni di certificazioni attive.
La novità che può interessare i gestori di siti web che provvedono ai certificati TLS / SSL tramite Let's Encrypt è che sono irregolari tutti i certificati SSL / TLS emessi negli ultimi 90 giorni: dal 28 Gennaio Let's Encrypt revocherà i certificati non validi. L'ISRG è stato avvisato da terze parti che ha esaminato il repository del Boulder di Let's Encrypt e ha riscontrato due irregolarità nel metodo di convalida "TLS using ALPN".
Per saperne di più, l'annuncio di Let's Encrypt nella community > 2022.01.25 Issue with TLS-ALPN-01 Validation Method
Per questo motivo l'authority ha effettuato le dovute correzioni sul metodo di validazione TLS-ALPN-01, quindi i certificati rilasciati dopo questa correzione sono validi.
"Tutti i certificati attivi che sono stati emessi prima delle 00.48 UTC del 26 Gennaio 2022, quando cioè è stata implementata la nostra correzione, sono da considerarsi emessi in modo errato", parola di Jillian, Let's Encrypt Site Reliability Engineer.
La revoca dei certificati non validi partirà appunto il 28 Gennaio 2022, dalle ore 16.00 UTC secondo le policy di Let's Encrypt stessa, che obbliga l'authority a invalidare un certificato entro 5 giorni. Per rassicurare gli utenti, l'authority ha anche "perimetrato" il problema. Non tutti i certificati emessi negli ultimi 90 giorni infatti utilizzano il metodo di convalida TLS-ALPN-01 e, stimano, il problema riguarderebbe solo l'1% dei certificati attivi.
I soggetti interessati ricerveranno notifiche email, sul modello di quella che mostriamo qui sotto:
 |
| Fonte: Let's Encrypt |
Nessun commento:
Posta un commento