Let's Encrypt-certifikater kasseres før tid på grund af uregelmæssigheder

27. januar kl. 08:18
Let's Encrypt-certifikater kasseres før tid på grund af uregelmæssigheder
Illustration: Bigstock/Ffmr.
Potentielt kan millioner af certifikater fra den gratis tjeneste blive lagt i graven fredag.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den gratis udsteder af internet-certifikater Let's Encrypt vil fredag begynde at kassere en række af brugernes certifikater tidligere end forventet. Det skriver Bleepingcomputer.

Certifikater fra Let's Encrypt har en holdbarhed på 90 dage, men tjenesten kan ifølge brugerbetingelserne gøre certifikater ugyldige med kun fem dages varsel. Let's Encrypt-kunder benytter ofte automatiseret fornyelse af deres certifikater.

Nonprofit-selskabet bag Let's Encrypt, Internet Security Research Group (ISRG), blev tirsdag informeret om, at der var to uregelmæssigheder i tjenestens implementering af gyldighedstjekket 'TLS using ALPN'.

»Alle aktive certifikater, der blev udstedt og valideret med TLS-ALPN-01-tjek før 00:48 UTC den 26. januar 2022, da vores rettelse blev implementeret, betragtes som fejludstedte,« forklarer en medarbejder fra Let's Encrypt i et indlæg.

Artiklen fortsætter efter annoncen

Tjenesten vil begynde at tilbagekalde certifikater kl. 16:00 UTC den 28. januar 2022. Let's Encrypt anslår, at færre end én procent af brugerne benytter et fejludstedt certifikat. I november sidste år havde Let's Encrypt udstedt 221 millioner certifikater. De berørte certifikat-kunder vil blive informeret via e-mail.

Ingen kommentarer endnu.  Start debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger