Let's Encrypt trekt vanaf vrijdag ssl- en tls-certificaten in die onlangs zijn uitgegeven. Dat doet de certificaatautoriteit nadat er zwakke punten werden ontdekt in de verificatiemethode voor webdomeinen. Dat is aangepast, maar recente certificaten moeten opnieuw worden uitgegeven.
Let's Encrypt schrijft dat het vanaf 28 januari 15.00 begint met het intrekken van bepaalde certificaten. Dat gebeurt over een periode van vijf dagen. Het gaat om alle certificaten die vóór 25 januari om 23.48 zijn aangemaakt met behulp van de TLS-ALPN-01-methode. Let's Encrypt zegt niet om hoeveel certificaten het gaat, maar schat in dat het om 'minder dan een procent' gaat van alle actieve certificaten die de instantie heeft uitgegeven. Beheerders krijgen een melding als hun e-mailadres bekend is bij Let's Encrypt, maar veel websitebeheerders zijn voor hun certificaten afhankelijk van hun hostingprovider.
Volgens Let's Encrypt zit er 'een onregelmatigheid' in validatiemethode 'TLS Using ALPN' die Let's Encrypt gebruikt om domeinen te verifiëren. Daarin zaten twee fouten, waar Let's Encrypt niet veel over uitweidt, maar waarvan het schrijft dat het die aangepast heeft. TLS-ALPN-01 is een validatiemethode die niet standaard wordt gebruikt in CertBot. Beheerders kunnen de methode gebruiken om ALPN-certificaten te valideren. De functie was tijdelijk uitgeschakeld, maar werkt inmiddels wel weer, zegt Let's Encrypt.
Advies over SSL certificaten? Neem contact met ons op.
Bron: tweakers.net