L’autorité de certification gratuite qui fournit des certificats TLS à 260 millions de sites Web commence ce 28 janvier à révoquer certains certificats SSL/TLS émis au cours des 90 derniers jours en raison d’irrégularités lors de la mise en œuvre de la méthode de validation « TLS utilisant ALPN ». Cela concernerait des millions de certificats Let’s Encrypt actifs.
Le 26 janvier 2022, Let’s Encrypt a informé les abonnés via un e-mail, et son forum, que ce 28 janvier 2022 (à partir de 16h00 UTC, soit 17 heures en France), il allait révoquer les certificats délivrés au cours des 90 derniers jours et validés par la méthode TLS-ALPN-01. Sur le forum de Let’s Encrypt, l’équipe précise que : “Tous les certificats actifs qui ont été émis et validés avec le challenge TLS-ALPN-01 avant 00:48 UTC le 26 janvier 2022, au moment où notre correctif a été déployé, sont considérés comme incorrects. » Soit environ 1% des certificats actifs. Let’s Encrypt est un service gratuit, à but non lucratif, qui chiffre et sécurise les connexions entre un appareil et internet.
Des services sensibles en danger de panne
« Le récent rapport sur le « crawler » que nous avons fait avec Scott Helme (ndlr : un chercheur en sécurité etfondateur de Security Headers) montre que Let’s Encrypt utilise maintenant des millions de certificats actifs : sur 1 million de sites les plus populaires, 28 % s’en servent. Cela signifie que lorsque Let’s Encrypt doit soudainement révoquer des millions de certificats – comme c’est le cas à l’heure actuelle – cela peut créer des bouleversements majeurs, qui mettent des services sensibles en danger de panne, explique Kevin Bocek, VP Security and Threat Intelligence chez Venafi. Les organisations doivent alors rapidement trouver et rééditer potentiellement des dizaines de milliers d’identités machines en seulement deux jours. Il est presque impossible de le faire manuellement, et les erreurs peuvent être très coûteuses, d’autant plus que les entreprises pourraient avoir plus de 57 000 identités machines qu’elles ne connaissent même pas »
Let’s Encrypt a généré une liste téléchargeable qui cartographie les identifiants d’enregistrement, les numéros de série et les domaines concernés. “Les abonnés peuvent télécharger cette liste et recouper les informations », précise l’organisation.