Aż 2,6% wszystkich certyfikatów SSL/TLS wygenerowanych przez Let’s Encrypt będzie unieważniona po 5 marca 2020 roku. Jest to ponad 3 miliony certyfikatów, które zostaną wycofane z powodu błędu w oprogramowaniu sprawdzającym własność domeny przed wydaniem podpisu. Unieważnienie będzie oznaczało, że przeglądarka wyświetli komunikat o przestarzałym certyfikacie. W innych przypadkach atakujący będą mogli podsłuchiwać ruch w sieci i wykradać poufne dane.
Firma Let’s Encrypt rozesłała masową korespondencję na adresy e-mail podane przy generowaniu certyfikatu. Administratorzy i właściciele stron internetowych powinni sprawdzić ważność swoich certyfikatów.
Przydatne informacje:
- Opis problemu: https://letsencrypt.org/caaproblem
- Narzędzie online sprawdzające certyfikat: https://checkhost.unboundtest.com
- Narzędzie automatyzujące sprawdzanie wielu certyfikatów: https://github.com/hannob/lecaa
- Dyskusja społeczności: https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
