Let's Encrypt

Millioner av Let's Encrypt-sertifikater trekkes tilbake

Kan føre til utilgjengelige nettsteder.

Let's Encrypt må trekke tilbake flere millioner sertifikater i kveld. Det kan berøre mange nettsteder og andre tjenester.
Let's Encrypt må trekke tilbake flere millioner sertifikater i kveld. Det kan berøre mange nettsteder og andre tjenester. (Skjermbilde: digi.no)

Kan føre til utilgjengelige nettsteder.

Bare dager etter at Let's Encrypt kunne meddele at tjenesten har utstedt over en milliard sertifikater til nettstedeiere og andre over hele verden, kunngjorde Let's Encrypt at det har blitt funnet en feil tjenestens «Certification Authority Authorization»-programvare, Boulder. Feilen gjør at det har blitt utstedt en god del TLS-sertifikater som en i praksis ikke kan være sikre på at er legitime. 

Tre millioner

I en oppdatering som kom i går, ble det klart at drøyt 3 millioner sertifikater må ugyldiggjøres med svært kort varsel, det vil si fra klokken 21:00 i kveld, norsk tid.

De aktuelle sertifikatene utgjør bare 2,6 prosent av de rundt 116 millioner aktive Let's Encrypt-sertifikatene, men konsekvensene for de berørte kan bli store, dersom de ikke forbereder seg. 

Fra det øyeblikket en nettleser blir klar over at sertifikatet til et nettsted er trukket tilbake, vil nettleseren vise en advarsel om at nettstedet har et ugyldig sertifikat. Det vil vanligvis hindre at brukeren kommer inn på nettstedet.

Sjekk og oppdater

Heldigvis er det enkelt å forhindre at dette skjer. 

Les også

Først bør du sjekke om nettstedene du er ansvarlig for, er berørt. Det kan enklest gjøres ved å besøke denne websiden og taste inn domenenavnet

Dersom domenet er berørt, eller du bare vil være på den sikre siden, løses det hele ved å fornye sertifikatet til de berørte domenene. I praksis gjøres det ved å kjøre ACME-klienten som de fleste uansett kjører når sertifikatene fra Let's Encrypt skal fornyes. 

Det finnes mange ulike ACME-klienter, men mange av Let's Encrypt-brukerne benytter trolig Certbot. For å tvinge fram en fornying av sertifikatene med denne, kan man bruke følgende kommando i en kommandolinje: 

certbot renew --force-renewal

Mer enn dette skal det normalt ikke være nødvendig å gjøre, men fordi fristen for å gjøre dette er kort, vil det trolig være mange som ikke har fått med seg situasjonen som har oppstått. Derfor må man regne med mange nettsteder vil bli utilgjengelige en periode etter at de berørte sertifikatene trekkes tilbake. 

Detaljer om hva som egentlig var galt med Boulder-programvaren, finnes i dette innlegget.

Les også

Kommentarer (3)

Kommentarer (3)
Til toppen