26 января ведущий поставщик бесплатных SSL-сертификатов Let’s Encrypt объявил о досрочном отзыве около двух миллионов TLS-сертификатов, которые были выпущены ненадлежащим образом. Проблема затрагивает около 1% от всех активных сертификатов данного удостоверяющего центра. Всем владельцам проблемных сертификатов по электронной почте будут разосланы уведомления о необходимости их обновления.
Важно подчеркнуть, что отзыв сертификатов обусловлен не уязвимостью, а несоответствием требованиям спецификации в применяемом в Let’s Encrypt коде с реализацией расширения TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation).
Как объясняет opennet, несоответствие связано с отсутствием некоторых проверок, выполняемых при согласовании соединений на базе TLS-расширения ALPN, применяемого в HTTP/2. Детальная информация об инциденте будет опубликована после завершения отзыва проблемных сертификатов.
Отзыв сертификатов начнется 28 января в 18:00 по Киеву. До этого времени пользователям, использующим метод проверки TLS-ALPN-01, рекомендуется успеть обновить свои сертификаты, иначе они досрочно станут недействительными.