1. alpn関連の不良による取消
Contents
リストにサイトがあっても(メール連絡があっても):
サイトで使っている証明書がrevokeされるとは限らない。-- ToshinoriMaeno 2022-01-31 02:11:37
2. revoke 完了
開始:
will begin to revoke certificates at 16:00 UTC on 28 January 2022.
日本では1月29日の01:00 だ。
完了: January 29, 2022 06:35 UTC (日本では 1月29日 15:35になる。) もう2日以上前。-- ToshinoriMaeno 2022-02-01 01:33:03
Affected TLS-ALPN-01 Certificate Revocation Complete https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/61f4e03d07404e053a7ecfd5
/affected Download affected certificate serials for 2022.01.25 TLS-ALPN-01 Incident https://letsencrypt.org/tlsalpnrevocation/ /affected
/状況確認 https://twitter.com/debiru_R/status/1487195977668644864?s=20&t=5PuoBV5cSysTe3IqdiP03A
- ここのSAFE判定は甘い。
https://alpn20220126.lavoscore.org/
3. OCSP
revoked通告は/OCSPで問い合わせないとわからないが、
- OCSPを使わないクライアントがある。(chrome, brave)
- OCSP情報が古い。
などの理由で、証明書エラーにならない場合を見かける。
4. 発覚
At 16:48 UTC on Tuesday Jan 25, 2022, a third party informed Let’s Encrypt / ISRG that, while examining the Boulder codebase, they had noticed two instances of specification non-compliance in our implementation of the “TLS Using ALPN” validation method (BRs 3.2.2.4.20, RFC 8737). As a result, we have made two changes 1.2k to the way that our TLS-ALPN-01 challenge validation works.
https://community.letsencrypt.org/t/2022-01-25-issue-with-tls-alpn-01-validation-method/170450
2022.01.25 Issue with TLS-ALPN-01 Validation Method Incidents jillian Let's Encrypt staff
All active certificates that were issued and validated with the TLS-ALPN-01 challenge before 00:48 UTC on 26 January 2022 when our fix was deployed are considered mis-issued. In compliance with the Let’s Encrypt CP, we have 5-days to revoke and will begin to revoke certificates at 16:00 UTC on 28 January 2022. We estimate <1% of active certificates are affected. Subscribers affected by revocations will receive e-mail notifications if their ACME account contains a valid e-mail address. If you are affected by this revocation and need help renewing your certificate please ask questions in this thread
日本語でのtweet https://twitter.com/5harada/status/1486349146135031808?s=20
Go @5harada · 26分 29日の朝にSSLアクセス出来ないと慌てるサバ管が居るかもなので備忘録。 SSL証明書にLet's Encryptを利用しているサイトで過去90日以内に更新している場合は手動で証明書を更新する必要があります。詳細は英語だけど添付のフォーラムで確認するのが原典なので張っときます
理由としてTLS-ALPN-01 challengeを使用した証明書の発行における認証プロセスで問題があり、 過去90日以内の有効な証明書の信頼性がなくなる可能性があるとのこと。 その為に2022年1月28日16時UTC(日本時間29日午前1時)に当該証明書を失効させるとの事です。 午後11:47 · 2022年1月26日·Twitter Web App
ちなみに影響範囲はLet's Encrypt社の全有効証明書数の1%以下だという事ですが、 2億2100万枚以上が有効であり、その1%だとすると200万を超える証明書が影響を受けるという事です。 WEBサイトだと更にキツい数になりそう・・・ #SSL証明書 #LETSENCRYPT
5. questions
https://community.letsencrypt.org/t/questions-about-renewing-before-tls-alpn-01-revocations/170449