AccueilSécuritéLet's Encrypt retire prématurément certains certificats après une erreur de vérification

Let’s Encrypt retire prématurément certains certificats après une erreur de vérification

En raison d’un mécanisme de vérification défectueux, tous les certificats créés par le projet Let’s Encrypt avec cette spéciale sont considérés comme émis de manière erronée. Par conséquent, Let’s Encrypt retirera ces certificats à partir de vendredi de cette semaine, soit le 28 janvier 2022.

Le projet Let’s Encrypt met à disposition des certificats TLS gratuits, par exemple pour les serveurs web, qui les utilisent pour crypter les communications entre le client et le serveur. Pour ce faire, le projet automatise tout, jusqu’à la vérification qu’un domaine appartient bien à la personne ou à l’organisation qui le demande.

Le projet explique que les erreurs concernaient un mécanisme de vérification – non prédéfini par défaut – parmi plusieurs mécanismes disponibles : le défi TLS-ALPN-01, qui permet aux utilisateurs de prouver la propriété d’un domaine. Les erreurs ont été corrigées dans la nuit de mardi à mercredi. Les certificats des domaines vérifiés jusqu’à ce moment-là sont toutefois considérés comme émis de manière erronée et seront retirés dans les cinq jours conformément aux directives de Let’s Encrypt.

Sommaire

Le Environnement de gestion automatique des certificats-La norme ACME, issue de la RFC 8737, décrit la gestion et la vérification automatiques et sécurisées des certificats. Selon la description de Let’s Encrypt, son client ACME impose désormais l’utilisation de TLS 1.2 ou plus récent. En outre, le client n’utilise plus l’OID obsolète des ébauches précédentes du RFC 8737 pour identifier l’extension acmeIdentifier, mais un OID plus récent. Ces OID (Object Identifier) sont également standardisés au niveau mondial et cataloguent certaines informations comme les noms ou les interlocuteurs à l’aide d’un numéro.

Let’s Encrypt explique que le type de défi TLS-ALPN-01 n’est pas utile pour la plupart des utilisateurs et qu’il constitue la meilleure variante en cas d’interaction avec des proxys inversés à terminaison TLS. Par conséquent, relativement peu d’utilisateurs sont confrontés à ce problème. Néanmoins, au vu des quelque 220 millions de certificats actifs recensés par les statistiques de Let’s Encrypt, cela fait certainement beaucoup.

Les utilisateurs concernés reçoivent une notification par e-mail, à condition qu’ils aient indiqué une adresse valide dans leur compte ACME. Dans son annonce, Let’s Encrypt estime que moins d’un pour cent des certificats actifs devront être retirés. Les administrateurs qui utilisent des certificats Let’s Encrypt avec le défi TLS-ALPN-01 doivent rapidement renouveler manuellement leurs certificats afin que les serveurs qui en sont équipés restent accessibles en toute sécurité.

Lire aussi

Plus d'articles