Let's Encrypt 是一個非營利性證書頒發機構,免費提供用於傳輸層安全(TLS)加密的證書。它是世界上最大的證書頒發機構,已被超過 2.76 億個網站使用。日前他們,將計劃於本週六開始復原一大批使用者的證書,因為這些證書是不符合政策的。
在 Let's Encrypt 社群論壇的一篇中,網站可靠性工程師 Jillian Tessa 解釋了這個原因:「一個第三方報告了在其自動證書管理環境(ACME)軟體 Boulder 中實現「TLS Using ALPN」驗證方法的程式碼中存在「兩個不合規」的問題」。
因此在 Let's Encrypt 部署修復程式時,所有在 2022 年 1 月 26 日 UTC 00:48 之前,用 TLS-ALPN-01 質詢頒發和驗證的有效證書都會被視為是錯誤頒發的。遵照 Let's Encrypt 證書政策,他們有 5 天的時間來複原這些證書,並將在 2022 年 1 月 28 日 UTC 16 時(北京時間 1 月 29 日 0 點)開始進行復原證書的工作。
當你從 Let's Encrypt 獲得證書時,根據 ACME 標準,該組織的伺服器試圖通過提出質詢來驗證你對相關資源的控制。這個質詢可以使用 HTTP、DNS 或 TLS 進行,這取決於使用者端設定。它的概念類似於傳送電子郵件驗證連結,必須點選才能完成線上賬戶的設定。
Let's Encrypt 將對提出的兩個不合規的驗證程式碼做出,這兩個改動影響了專門使用 TLS-ALPN-01 的使用者端應用程式。
更新之後,首先該軟體將會強制使用 TLS 1.2 或更高版本進行網路連線。以前的程式碼允許通過 TLS 1.1 進行連線,而這在現在看來是不安全的。其次,該軟體不再支援傳統的 OID(物件識別符號)1.3.6.1.5.5.7.1.30.1,Let's Encrypt 現在只接受標準化的 OID 1.3.6.1.5.5.7.1.31。
根據 Let's Encrypt 的統計,不到 1% 的有效證書會受到影響。考慮到目前 Let's Encrypt 簽發的有效證書約有 2.21 億份,因此從數量上看約有 200 萬份證書受到影響,影響規模還是十分巨大的。
受影響的證書持有者將通過電子郵件收到復原通知,屆時將需要重新更新證書。