Let’s Encrypt錯(cuò)誤簽發(fā)數(shù)百萬(wàn)張證書(shū) 所有錯(cuò)誤證書(shū)將在5天內(nèi)吊銷(xiāo)

如果你當(dāng)時(shí)留的郵箱是隨便填寫(xiě)的，那么基于穩(wěn)妥考慮建議你重新申請(qǐng)并簽發(fā)證書(shū)，確保舊證書(shū)不會(huì)被自動(dòng)吊銷(xiāo)。
吊銷(xiāo)工作將從國(guó)際協(xié)調(diào)時(shí)2022年1月28日16:00開(kāi)始(UTC +0，下同)，最遲會(huì)在5天內(nèi)完成吊銷(xiāo)，如果快的話那么最近簽發(fā)的錯(cuò)誤證書(shū)很可能很快就會(huì)被吊銷(xiāo)。
根據(jù)Let’s Encrypt發(fā)布的公告，第三方倉(cāng)庫(kù)Boulder向ISRG(Let’s Encrypt的運(yùn)營(yíng)方)發(fā)出通知，該機(jī)構(gòu)使用的ALPN TLS驗(yàn)證存在兩個(gè)違規(guī)問(wèn)題，因此ISRG必須對(duì)其TLS-APLN-01質(zhì)詢(xún)驗(yàn)證的工作方式進(jìn)行更改。
Let’s Encrypt工程師稱(chēng)在2022年1月26日00:48部署修復(fù)程序時(shí)發(fā)現(xiàn)，所有通過(guò)TLS-APLN-01質(zhì)詢(xún)頒發(fā)和驗(yàn)證的證書(shū)都是錯(cuò)誤的。根據(jù)Let’s Encrypt Certificate Policy政策要求，證書(shū)頒發(fā)機(jī)構(gòu)需在5天內(nèi)讓錯(cuò)誤證書(shū)失效，Let’s Encrypt計(jì)劃從2022年1月28日16:00開(kāi)始吊銷(xiāo)錯(cuò)誤證書(shū)。
但請(qǐng)注意，并非所有證書(shū)都受此問(wèn)題影響，Let’s Encrypt僅會(huì)撤銷(xiāo)受影響的錯(cuò)誤證書(shū)，當(dāng)前已經(jīng)向相關(guān)用戶(hù)發(fā)送郵件通知。
Let’s Encrypt預(yù)計(jì)少于1%的活躍證書(shū)受此問(wèn)題影響，但考慮到Let’s Encrypt活躍證書(shū)超過(guò)2.21億張，即便是1%也影響數(shù)百萬(wàn)張證書(shū)，這對(duì)應(yīng)著數(shù)百萬(wàn)個(gè)網(wǎng)站和網(wǎng)絡(luò)服務(wù)。一旦證書(shū)被吊銷(xiāo)HTTPS將出現(xiàn)連接失敗，也就是直接導(dǎo)致網(wǎng)站或服務(wù)無(wú)法連接。
潛在處理方法：
比較簡(jiǎn)單直接的處理方法就是直接刪除舊的Let’s Encrypt證書(shū)然后重新申請(qǐng)簽發(fā)新證書(shū)，由于修復(fù)程序已經(jīng)被部署因此新簽發(fā)的證書(shū)是木有問(wèn)題的，這樣解決比較簡(jiǎn)單有效。因?yàn)長(zhǎng)et’s Encrypt沒(méi)有提供方法來(lái)驗(yàn)證證書(shū)是否是錯(cuò)誤的，所以如果用戶(hù)沒(méi)預(yù)留真實(shí)郵箱或未收到通知郵件不知道自己的證書(shū)是否受影響。
寶塔面板用戶(hù)可在網(wǎng)站設(shè)置的SSL中，先關(guān)閉SSL功能，然后在證書(shū)夾中刪除Let’s Encrypt證書(shū)，最后重新申請(qǐng)簽發(fā)即可。
使用LNMP用戶(hù)操作方法類(lèi)似，先將網(wǎng)站配置文件(.conf)中的SSL證書(shū)碼注釋掉，然后將證書(shū)存放路徑里的證書(shū)(.cer以及.key)刪除，重啟nginx使之生效，最后重新使用ACME或cerbot申請(qǐng)新證書(shū)即可。
文章轉(zhuǎn)載自cnBeta.COM