Il y a quelques jours, le service annonçait la découverte d’un bug de revérification nécessitant la révocation de plus de trois millions de certificats TLS/SSL. Cette révocation prenait place dans la nuit de mardi à mercredi.
Hier cependant, l'équipe a fait un point d’étape, lâchant du lest par la même occasion. Selon elle, l’opération a bien fonctionné : plus de 1,7 million de certificats ont été remplacés en moins de 48 heures. Un rythme largement soutenu par l’automatisation du processus, tous les utilisateurs concernés ayant été prévenus par email.
Mais avant même la fin de cette transition, Let’s Encrypt savait que plus d’un million de certificats ne seraient pas remplacés à temps. Estimant qu’une révocation forcée aurait un trop gros impact sur ces sites et leurs visiteurs, le service va finalement les laisser tranquilles.
Il estime ne pas prendre un gros risque. D’abord parce que les certificats directement impactés par le bug ont été remplacés (dont 445 en « très haute priorité »). Ensuite parce que les certificats Let’s Encrypt ne sont valables que 90 jours. Les non remplacés vont donc « mourir de leur belle mort » et être renouvelés via un processus corrigé.
Commentaires (7)
#1
C’est une très bonne méthode : faire peur pour que tout le monde, surtout les sites les plus critiques, se bouge rapidement mais finalement ne rien faire sur ceux qui n’ont pas bougé, i.e. les moins critiques
Je ne sais pas si c’était prévu, mais bien joué à eux
#2
Sauf que la prochaine fois, les gens vont se dire “la dernière fois, ils ont laissé les trucs fonctionner. Donc on ne va rien changer et attendre”
#3
Ils ont surtout fait ça parce que la durée des certifs est seulement de trois mois et qu’il me semble que c’est une des premieres fois. On verra pour la suite.
#4
“Bug Let’s Encrypt : les certificats non remplacés seront laissés jusqu’à expiration”
Pas exactement, ils disent précisément:
“We plan to revoke more certificates as we become confident that doing so will not be needlessly disruptive to Web users.”
Traduction libre : “Nous prévoyons de révoquer davantage de certificats, lorsque nous seront confiants que cela ne perturbera pas inutilement les utilisateurs du web”
Source:https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3 ethttps://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4⁄114…
#5
Par défaut, le script de renouvellement Let’s encrypt regarde chaque semaine s’il y a un certificat à renouveler. Pourquoi faudrait-il renouveler certains certificats manuellement ? Il suffit d’attendre une semaine avant d’invalider les certificats, et c’est bon.
#6
Je ne suis pas expert sur le sujet (principalement utilisateur de Let’s Encrypt à titre perso et j’ai eu l’occasion d’intégrer des certificats issus d’une PKI en entreprise pour des applications), mais il me semble qu’un certificat révoqué ne peut être renouvelé et que cela équivaudrait à une nouvelle demande.
Let’s Encrypt préconise de faire tourner l’agent une fois par semaine car le renouvellement ne commence qu’à partir de J-30 et les demandes sont limitées en nombre.
Après, Let’s Encrypt a été intégré auprès d’hébergeurs pro qui permettent d’avoir une solution de certification gratuite pour leurs clients (OVH et Infomaniak l’utilisent par exemple), donc il vaut mieux gérer le problème de manière à éviter des impacts pour eux.
#7
Perso l’agent (certbot) je le fait tourner 1 fois par jour.
" />
Et lorsque j’ai intégré la solution la doc officielle conseillait 2 fois par jour.
Moi je suis plutôt content de leur décision.
Les certifs let’s encrypt ce n’est pas pour les “gros’ sites de toute façon.
C’est pas la peine de faire chier les sysadmin