Karena mekanisme verifikasi buggy, semua sertifikat yang dibuat oleh proyek Let’s Encrypt yang menggunakannya dianggap bermasalah. Akibatnya, Let’s Encrypt akan menarik sertifikat ini mulai Jumat minggu ini, 28 Januari 2022.
Proyek Let’s Encrypt menyediakan sertifikat TLS gratis untuk server web, misalnya, yang menggunakannya untuk mengenkripsi komunikasi antara klien dan server. Untuk melakukan ini, proyek mengotomatiskan semuanya, hingga memeriksa apakah domain milik orang atau organisasi yang membuat permintaan.
Proyek menjelaskan bahwa kesalahan memengaruhi salah satu dari banyak mekanisme verifikasi yang tersedia – yang tidak ditentukan sebelumnya secara default: apa yang disebut tantangan TLS-ALPN-01, yang dengannya pengguna dapat membuktikan kepemilikan domain. . Kesalahan diperbaiki pada Rabu malam. Namun, sertifikat untuk domain yang diverifikasi dengannya sejauh ini dianggap tidak benar dan akan dihapus dalam waktu lima hari sesuai dengan pedoman Let’s Encrypt.
Bug diperbaiki
itu Lingkungan manajemen sertifikat otomatis(ACME) dari RFC 8737 menjelaskan manajemen dan verifikasi sertifikat otomatis yang aman. Berdasarkan Deskripsi Let’s Encrypt klien ACME mereka sekarang memaksa penggunaan TLS 1.2 atau yang lebih baru. Selain itu, klien tidak lagi menggunakan OID usang dari versi RFC 8737 sebelumnya untuk mengidentifikasi ekstensi acmeIdentifier, tetapi ekstensi yang lebih baru. OID (Pengidentifikasi Objek) ini juga distandarisasi secara global dan mencantumkan informasi tertentu seperti nama atau orang yang dapat dihubungi menggunakan nomor.
Mari Enkripsi dijelaskanbahwa jenis tantangan TLS-ALPN-01 tidak masuk akal bagi sebagian besar pengguna dan merupakan varian terbaik, misalnya dalam kombinasi dengan proxy terbalik yang diakhiri dengan TLS. Oleh karena itu, relatif sedikit pengguna yang menghadapi masalah ini. Mengingat sekitar 220 juta sertifikat aktif yang Mari Enkripsi Laporan Statistikpasti banyak.
Pengguna yang terpengaruh akan menerima pemberitahuan email jika mereka memiliki alamat yang valid di akun ACME mereka. Mari Enkripsi perkiraan dalam iklanbahwa kurang dari satu persen sertifikat aktif harus dihentikan. Administrator yang mengandalkan sertifikat Let’s Encrypt dengan tantangan TLS-ALPN-01 harus segera memperbarui sertifikat mereka secara manual sehingga server yang dilengkapi dengannya tetap dapat diakses dengan aman.
(dmk)
“Pencinta kopi. Kutu buku alkohol yang ramah hipster. Pecandu media sosial yang setia. Ahli bir. Perintis zombie seumur hidup.”
