Let’s Encrypt在1月25日發布公告指出,因接獲外部檢驗單位通知,憑證管理驗證方法有2處不符標準的狀況,因此之前以TLS-ALPN-01驗證方式發出的憑證,都將視為誤發,並在本月28日開始的5日內進行撤銷
文/林妍溱 | 2022-01-27發表
免費TLS/SSL憑證發行商Let’s Encrypt本周通知,為了修正稍早的作業問題,將在5天內撤銷大約200萬個發出的憑證。
Let’s Encrypt周二接獲檢驗其程式碼的外部單位通知,該公司憑證管理(ACME)Boulder「TLS Using ALPN」驗證方法的實作有2處規格不符合標準。在1月26日協調時間凌晨0點48分修正後,問題已經解決。但是修正前利用TLS-ALPN-01驗證方式驗證及發出的所有憑證都被視為是誤發。
為符合其憑證政策,Let’s Encrypt預計在5天內撤銷這些已發出的憑證,該公司將從世界協調時間(UTC)1月28日16:00起執行。Let’s Encrypt估計受影響的憑證不到1%。而受影響的用戶也會接獲電子郵件通知。
根據Let’s Encrypt的資料,目前有效憑證為2.2億張,因此受到影響的用戶憑證大約在200萬左右。
The Register引述Let’s Encrypt 公司說法,這次修正不是出於安全問題,而是因為TLS-ALPN-01需使用TLS 1.2以上版本。
文章來源:iThome https://www.ithome.com.tw/news/149108
