Stai utilizzando un browser obsoleto. Per un'esperienza di navigazione più rapida e sicura, esegui subito l'upgrade gratuito.

Attendere...

Let's Encrypt revocherà molti certificati SSL nei prossimi giorni

A partire dal 28 gennaio 2022 Let's Encrypt inizierà a revocare molti certificati SSL/TLS emessi negli ultimi 90 giorni a causa di un bug con un impatto su milioni di certificati attivi.

Certificati 'erroneamente emessi' da revocare.

Ieri, l’Internet Security Research Group (ISRG), è stato informato che c'erano "due irregolarità" nell'implementazione da parte di Let's Encrypt nel metodo di convalida "TLS using ALPN", di conseguenza, l'autorità di certificazione ha dovuto apportare due modifiche al funzionamento della convalida del metodo di convalida TLS-ALPN-01.

"Tutti i certificati attivi che sono stati emessi e convalidati con TLS-ALPN-01 prima del 26 gennaio 2022, quando è stata implementata la nostra correzione, sono considerati emessi in modo errato", spiega Jillian, Let's Encrypt Site Reliability Engineer (SRE).

Let's Encrypt inizierà a revocare i certificati dal 28 gennaio 2022. Tuttavia non tutti i certificati sono interessati dall'implementazione impropria del metodo di convalida "TLS using ALPN", infatti la revoca si applicherà solo ai certificati emessi con il metodo di convalida TLS-ALPN-01 errato.

"Stimiamo che meno dell'1% dei certificati attivi sia interessato. Gli interessati da revoche riceveranno una notifica email." spiega ulteriormente Jillian.

A novembre 2021, il numero di tutti i certificati Let's Encrypt attivi ha superato i 221 milioni, come verificato da BleepingComputer, pertanto, il numero di certificati attivi interessati potrebbe essere milioni.