Let’s Encrypt錯誤簽發數百萬張證書所有錯誤證書將在5天內吊銷
提醒:如果你使用Let’s Encrypt提供的免費SSL證書,請檢查你提交申請時留的郵箱,如果郵箱收到來自Let’s Encrypt的通知則你的證書很可能會在未來5天內被吊銷。
如果你當時留的郵箱是隨便填寫的,那麼基於穩妥考慮建議你重新申請並簽發證書,確保舊證書不會被自動吊銷。
吊銷工作將從國際協調時2022年1月28日16:00開始( UTC +0,下同),最遲會在5天內完成吊銷,如果快的話那麼最近簽發的錯誤證書很可能很快就會被吊銷。
吊銷原因:
根據Let’s Encrypt發布的公告,第三方倉庫Boulder向ISRG(Let’s Encrypt的運營方)發出通知,該機構使用的ALPN TLS驗證存在兩個違規問題,因此ISRG必須對其TLS-APLN-01質詢驗證的工作方式進行更改。
Let’s Encrypt工程師稱在2022年1月26日00:48部署修復程序時發現,所有通過TLS-APLN-01質詢頒發和驗證的證書都是錯誤的。根據Let’s Encrypt Certificate Policy政策要求,證書頒發機構需在5天內讓錯誤證書失效,Let’s Encrypt計劃從2022年1月28日16:00開始吊銷錯誤證書。
但請注意,並非所有證書都受此問題影響,Let’s Encrypt僅會撤銷受影響的錯誤證書,當前已經向相關用戶發送郵件通知。
Let’s Encrypt預計少於1%的活躍證書受此問題影響,但考慮到Let’s Encrypt活躍證書超過2.21億張,即便是1%也影響數百萬張證書,這對應著數百萬個網站和網絡服務。一旦證書被吊銷HTTPS將出現連接失敗,也就是直接導致網站或服務無法連接。
潛在處理方法:
比較簡單直接的處理方法就是直接刪除舊的Let’s Encrypt證書然後重新申請簽發新證書,由於修復程序已經被部署因此新簽發的證書是木有問題的,這樣解決比較簡單有效。因為Let’s Encrypt沒有提供方法來驗證證書是否是錯誤的,所以如果用戶沒預留真實郵箱或未收到通知郵件不知道自己的證書是否受影響。
寶塔面板用戶可在網站設置的SSL中,先關閉SSL功能,然後在證書夾中刪除Let’s Encrypt證書,最後重新申請簽發即可。
使用LNMP用戶操作方法類似,先將網站配置文件(.conf)中的SSL證書碼註釋掉,然後將證書存放路徑裡的證書(.cer以及.key)刪除,重啟nginx使之生效,最後重新使用ACME或cerbot申請新證書即可。
有關此問題的官方公告:
https://community.letsencrypt.org/t/2022-01-25-issue-with-tls-alpn-01-validation-method/170450