Let’s Encrypt comenzará a revocar ciertos certificados SSL/TLS

Let’s Encrypt revocará ciertos certificados SSL/TLS emitidos en los últimos 90 días debido a un error, a partir del 28 de enero de 2022. La medida podría afectar a millones de certificados activos de Let’s Encrypt, si el certificado cuenta con el método de validación de TLS-ALPN-01 defectuoso.

Tenga en cuenta, sin embargo, que no todos los certificados se ven afectados por la incorrecta implementación del método de validación «TLS usando ALPN». Esta revocación planificada solo se aplicará a los certificados emitidos con el método de validación defectuoso TLS-ALPN-01.

Todas las páginas que cuenten con certificados que utilicen el método de validación defectuoso TLS-ALPN-01 se verán afectadas.

Recomendamos revocar o renovar los certificados utilizados lo antes posible para evitar la baja de estos, a través del siguiente guía:

Como verificar si su host se ve afectado:

  1. Utilizar la siguiente herramienta web https://tls-alpn-check.letsencrypt.org/
  2. Utilizar la interfaz de línea de comandos:

$ curl -X POST -d ‘fqdn=letsencrypt.org’ https://tls-alpn-check.letsencrypt.org/checkhost

[letsencrypt.org]: FQDN was not found in the impacted list.

$ curl -X POST -d ‘fqdn=example.com’ https://tls-alpn-check.letsencrypt.org/checkhost

[example.com]: The certificate retrieved from your web server has serial 030xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx and was found in our affected data set. Please renew your certificate as soon as possible. Help is available at https://community.letsencrypt.org/t/questions-about-renewing-before-tls-alpn-01-revocations/170449

$ curl -X POST -d ‘serial=03a1c95bdaa36a8268327f2253cbd3ba243’ https://tls-alpn-check.letsencrypt.org/checkserial

[03a1c95bdaa36a8268327f2253cbd3ba243]: Serial was not found in the impacted list. No action should be necessary.

$ curl -X POST -d ‘serial=030xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’ https://tls-alpn-check.letsencrypt.org/checkserial

[030xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx]: Serial was found in the impacted list. Please renew your certificate as soon as possible. Help is available at https://community.letsencrypt.org/t/questions-abou…

Alternativamente, dichos datos se encuentran disponibles para descargar y realizar búsquedas locales.

El archivo tls-alpn-01-incident-affected-certs-by-regID.csv.gz es un CSV comprimido con gzip que contiene filas en el siguiente formato:

123456,»03e1ce2c0324f9ca93417fc8886f87f34857″,»2022-01-25T18:25:29Z»,»letsencrypt.org»,»www.letsencrypt.org«,»status.letsencrypt.org»

La primera columna es el número de identificación de la cuenta que solicitó la emisión del certificado. El archivo está ordenado por ID de cuenta, por lo que todos los certificados emitidos por una sola cuenta se agrupan. La segunda columna es el número de serie hexadecimal único del certificado. La tercera columna es la hora en que se emitió el certificado (en formato RFC3339, es decir, AAAA-MM-DDTHH:MM:SSZ, todas las horas UTC). Las columnas restantes son todos los identificadores (nombres de host DNS) para los que se emitió el certificado.

Puede descargar este archivo, descomprimirlo y buscar la(s) identificación(es) de su cuenta. Debe renovar y reemplazar cada certificado enumerado, a menos que ya lo haya hecho antes del 26 de enero de 2022 a las 00:48 UTC

Referencias:

Compartir: