Let’s Encryptは2022年1月28日から過去90日以内に発行された特定のSSL/TLS証明書の失効を開始すると発表しました。
この動きは、数百万のアクティブなLet’s Encryptの証明書に影響を与える可能性があるとのことです。
Let’s Encryptは、Internet Security Research Group(ISRG)が運営する非営利の認証局として、TLS暗号化のためのX.509証明書を無料で提供しています。
「誤発行された」証明書を失効させる
昨日、ISRGはLet’s EncryptのBoulder code repoを調査した第三者から、同認証局の「TLS using ALPN」の検証方法の実装に「2つの不正」があったとの情報を得ました
結果、TLS-ALPN-01チャレンジ検証の仕組みを2つ変更しなければあり、Let’s Encryptのサイト・リライアビリティ・エンジニア(SRE)であるジリアンは、「修正プログラムが導入された2022年1月26日午前0時48分(UTC)以前にTLS-ALPN-01チャレンジで発行され、検証されたすべてのアクティブな証明書は、誤発行されたものとみなされます」と説明しています。
一定の条件下で認証局が5日以内に証明書を無効にすることを求めているLet’s Encryptの証明書ポリシーに準拠するため、2022年1月28日16時00分(UTC)に証明書の失効を開始します。
ただし、「TLS using ALPN」の検証方法の不適切な実装により、すべての証明書が影響を受けるわけではないようです。
今回の失効プロジェクトは、欠陥のあるTLS-ALPN-01検証方法で発行された証明書にのみ適用されます。
影響を受けるのは、有効な証明書の1%未満であると推定しています。失効の影響を受ける加入者は、ACMEアカウントに有効な電子メールアドレスが登録されていれば、電子メールによる通知を受けることができます。今回の失効の影響を受け、証明書の更新についてお困りの方は、このスレッドでご質問ください
https://community.letsencrypt.org/t/questions-about-renewing-before-tls-alpn-01-revocations/170449
2021年11月の時点で、Let’s Encryptの全有効証明書数は2億2100万枚を超えています。
したがって、影響を受けるアクティブな証明書の数(1%以下)は、欠陥のあるTLS-ALPN-01チャレンジ検証で発行された場合、数百万に達する可能性があります。
影響を受けたLet’s Encryptの証明書を持っているサイトオーナーは、失効の時期が迫っているため、証明書を更新するよう指示するメール通知が届いたとの報告を受けています。
メールを受け取ったということは、あなたのアカウントは過去90日間に、TLS-ALPN-01チャレンジを使用して検証された証明書を少なくとも1つ取得することに成功したということです。
過去90日以内に発行され、TLS-ALPN-01チャレンジで検証されたすべての証明書が影響を受けます。ACMEのクライアントの指示に従って、証明書を(強制的に)更新する必要があります。クライアントから設定変更を要求された場合は、証明書を更新した後に忘れずに元に戻してください!
Comments