Хакер #305. Многошаговые SQL-инъекции
В эту пятницу (28 января 2022 года) некоммерческая организация Let’s Encrypt планирует отозвать около двух миллионов SSL/TLS-сертификатов, поскольку они были выпущены некорректно.
В официальном сообщении инженер Let's Encrypt Джиллиан Тесса (Jillian Tessa) объяснила, что 25 января некая третья сторона сообщила организации о двух проблемах (1, 2) в коде имплементации метода проверки «TLS с использованием ALPN» (BRs 3.2.2.4.20, RFC 8737) в Boulder — программном обеспечении для ACME (Automatic Certificate Management Environment).
«Все активные сертификаты, которые были выпущены и проверены с помощью TLS-ALPN-01 до 00:48 UTC 26 января 2022 года, когда был развернут наш патч, считаются выпущенными некорректно, — пишет Тесса. — В соответствии с Let’s Encrypt CP [Certificate Policy], у нас есть пять дней на отзыв сертификатов, и мы начнем отзывать их в 16:00 UTC 28 января 2022 года».
По оценкам организации, проблема затронула менее одного процента активных сертификатов. Однако это все равно огромное количество — около двух миллионов сертификатов, так как в настоящее время в мире активно около 221 млн сертификатов, выданных Let’s Encrypt.
Все, кого коснулась эта проблема, получат уведомления по электронной почте, и им понадобится продление сертификата.