Let’s Encrypt İki Gün İçinde Birçok SSL Sertifikasını İptal Ediyor
Let's Encrypt, 28 Ocak 2022'den itibaren son 90 gün içinde verilen belirli SSL/TLS sertifikalarını iptal etmeye başlayacak. Hareket, milyonlarca etkin Let's Encrypt sertifikasını etkileyebilir.
Internet Security Research Group (ISRG) tarafından yürütülen kar amacı gütmeyen bir sertifika yetkilisi olarak Let's Encrypt, Aktarım Katmanı Güvenliği şifrelemesi için ücretsiz olarak X.509 sertifikaları sağlar.
'Yanlış verilen' sertifikalar iptal edilecek
Dün ISRG, Let's Encrypt'in Boulder kod deposunu inceleyen üçüncü bir tarafça , sertifika yetkilisinin "ALPN kullanarak TLS" doğrulama yöntemini uygulamasında "iki düzensizlik" olduğu konusunda bilgilendirildi [ 1 , 2 ].
Sonuç olarak, sertifika yetkilisinin TLS-ALPN-01 sorgulama doğrulamasının işleyişinde iki değişiklik yapması gerekiyordu.
Let's Encrypt Site Güvenilirlik Mühendisi (SRE), Jillian , "TLS-ALPN-01 sorgulamasıyla 26 Ocak 2022 saat 00:48 UTC'den önce, düzeltmemizin dağıtıldığı tüm etkin sertifikalar yanlış verilmiş olarak kabul edilir," diye açıklıyor.
Sertifika yetkilisinin belirli koşullar altında 5 gün içinde bir Sertifikayı geçersiz kılmasını gerektiren Let's Encrypt Sertifika Politikası'na uymak için, kar amacı gütmeyen kuruluş, 28 Ocak 2022'de saat 16:00 UTC'de sertifikaları iptal etmeye başlayacaktır.
Ancak, "ALPN kullanan TLS" doğrulama yönteminin hatalı uygulanmasından tüm sertifikaların etkilenmediğini unutmayın. Bu planlı iptal, yalnızca hatalı TLS-ALPN-01 doğrulama yöntemiyle verilen sertifikalar için geçerli olacaktır.
"Etkin sertifikaların %1'den azının etkilendiğini tahmin ediyoruz. İptallerden etkilenen aboneler, ACME hesaplarında geçerli bir e-posta adresi varsa e-posta bildirimleri alacaklardır. Bu iptalden etkileniyorsanız ve sertifikanızı yenilemek için yardıma ihtiyacınız varsa" lütfen bu başlıkta sorular sorun." diye açıklıyor mühendis.
Önümüzdeki günlerde bu olayla ilgili daha fazla ayrıntı vereceğiz” dedi.
Kasım 2021 itibariyle, tüm aktif Let's Encrypt sertifikalarının sayısı, BleepingComputer tarafından görüldüğü gibi 221 milyonu aştı.
Bu nedenle, kusurlu TLS-ALPN-01 sorgulama doğrulaması ile verilmişse, etkilenen aktif sertifikaların sayısı (%1 veya daha az) muhtemelen milyonlara ulaşabilir.
E-posta bildirimleri alan kullanıcılar
Etkilenen Let's Encrypt sertifikalarına sahip site sahipleri, e-posta bildirimleri aldıklarını bildiriyor ve iptal işlemi başlamak üzereyken sertifikalarını yenilemeleri talimatını veriyor.
Let's Encrypt söz konusu başlıkta "E-postayı aldıysanız, hesabınız son 90 gün içinde TLS-ALPN-01 sorgulaması kullanılarak doğrulanan en az bir sertifikayı başarıyla almıştır" diye açıklıyor.
"Son 90 gün içinde verilen ve TLS-ALPN-01 sorgulamasıyla doğrulanan tüm sertifikalar etkilenir. Sertifikayı ACME istemcinizin talimatlarına göre yenilemeniz (zorla) gerekir. İstemciniz bir yapılandırma değişikliği yapmanızı isterse, lütfen unutmayın. sertifikanız yenilendikten sonra geri dönmek için!"
Kısa süre içinde, tüm kullanıcılar Let's Encrypt'in ani ama gerekli hareketinden memnun olmayabilir.
İşin iyi yanı, Caddy Web Server gibi otomatik sertifika yönetimi çözümleri kullananlar içiniz rahat olabilir.
Caddy Web Server'ın arkasındaki ekip, "Caddy v2.4.2 veya daha yenisini kullanan siteler, otomatik sertifikalar iptal edildiğinde herhangi bir işlem yapmak zorunda kalmamalıdır. Uykunuzun tadını çıkarın," diyor.
"Caddy, ilgili tüm sertifikalar için OCSP'yi otomatik olarak zımbalar. Zımbayı geçerlilik süresinin yaklaşık yarısında yeniler. Bir sonraki durum İptal Edildi ise , Caddy sertifikayı hemen değiştirir."
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.