Let's Encrypt-certifikater kasseres før tid på grund af uregelmæssigheder
Den gratis udsteder af internet-certifikater Let's Encrypt vil fredag begynde at kassere en række af brugernes certifikater tidligere end forventet. Det skriver Bleepingcomputer.
Certifikater fra Let's Encrypt har en holdbarhed på 90 dage, men tjenesten kan ifølge brugerbetingelserne gøre certifikater ugyldige med kun fem dages varsel. Let's Encrypt-kunder benytter ofte automatiseret fornyelse af deres certifikater.
Nonprofit-selskabet bag Let's Encrypt, Internet Security Research Group (ISRG), blev tirsdag informeret om, at der var to uregelmæssigheder i tjenestens implementering af gyldighedstjekket 'TLS using ALPN'.
»Alle aktive certifikater, der blev udstedt og valideret med TLS-ALPN-01-tjek før 00:48 UTC den 26. januar 2022, da vores rettelse blev implementeret, betragtes som fejludstedte,« forklarer en medarbejder fra Let's Encrypt i et indlæg.
Tjenesten vil begynde at tilbagekalde certifikater kl. 16:00 UTC den 28. januar 2022. Let's Encrypt anslår, at færre end én procent af brugerne benytter et fejludstedt certifikat. I november sidste år havde Let's Encrypt udstedt 221 millioner certifikater. De berørte certifikat-kunder vil blive informeret via e-mail.
