Let's Encrypt-certifikater kasseres før tid på grund af uregelmæssigheder
Den gratis udsteder af internet-certifikater Let's Encrypt vil fredag begynde at kassere en række af brugernes certifikater tidligere end forventet. Det skriver Bleepingcomputer.
Certifikater fra Let's Encrypt har en holdbarhed på 90 dage, men tjenesten kan ifølge brugerbetingelserne gøre certifikater ugyldige med kun fem dages varsel. Let's Encrypt-kunder benytter ofte automatiseret fornyelse af deres certifikater.
Nonprofit-selskabet bag Let's Encrypt, Internet Security Research Group (ISRG), blev tirsdag informeret om, at der var to uregelmæssigheder i tjenestens implementering af gyldighedstjekket 'TLS using ALPN'.
»Alle aktive certifikater, der blev udstedt og valideret med TLS-ALPN-01-tjek før 00:48 UTC den 26. januar 2022, da vores rettelse blev implementeret, betragtes som fejludstedte,« forklarer en medarbejder fra Let's Encrypt i et indlæg.
Tjenesten vil begynde at tilbagekalde certifikater kl. 16:00 UTC den 28. januar 2022. Let's Encrypt anslår, at færre end én procent af brugerne benytter et fejludstedt certifikat. I november sidste år havde Let's Encrypt udstedt 221 millioner certifikater. De berørte certifikat-kunder vil blive informeret via e-mail.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
