Let’s Encrypt : trois millions de certificats révoqués à cause d’un bug
Le 04 mars 2020 à 09h44
1 min
Internet
Internet
La procédure commencera ce soir, suite à la découverte d’un bug important dans le processus de revérification. Sur les 116 millions de certificats générés à ce jour, 3 048 289 commenceront à être révoqués entre 21 h et 4 h demain.
Dans le lot, environ un million sont des duplicatas. Une adresse spécifique a été mise en place pour permettre aux utilisateurs, entreprises et autres de vérifier s’ils sont concernés.
En parallèle, des emails sont envoyés à toutes les adresses utilisées lors des créations de comptes. Si vous êtes touché(e) par le problème, il faudra peut-être renouveler le certificat.
Let’s Encrypt l’a peut-être déjà fait automatiquement, si le renouvellement est intervenu durant les derniers jours (après la découverte du bug).
Le 04 mars 2020 à 09h44
Commentaires (20)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/03/2020 à 09h47
Mes certificats n’ont pas l’air touchés, pourtant l’un d’eux a été généré il y a plusieurs semaines et pas encore renouvelé.
Le 04/03/2020 à 10h05
Idem, pas de soucis de mon côté.
Le 04/03/2020 à 10h07
J’ai tiré le gros lot :-) Mail reçu pour le renouvellement de certificat ;-)
Le 04/03/2020 à 10h16
Pas de certif chez eux
" />
Le 04/03/2020 à 10h19
Moi j’ai du renouveler les miens que j’avais renouvelé il y’a à moins d’un mois
Le 04/03/2020 à 10h35
Pareil, mes 7 certifs ont dû être renouvellés :)
Le 04/03/2020 à 11h29
1 sur 4 chez moi :(
c’est pas gentil ça
Le 04/03/2020 à 11h35
C’est vraiment pas cool.
J’ai bien reçu leur mail d’avertissement hier mais ils ne précisent pas quelle sont les domaines concernés…
Et quand t’a à plusieurs milliers de certificats chez eux… Bah voilà :(
Je vais lancer des forces renew quand les charges serveurs auront diminué ce soir. je ne doute pas leur infr va être bien chargé.
Vraiment c’est moche.
Le 04/03/2020 à 11h44
Donc c’est repassé sous le milliard ?
" />
Le 04/03/2020 à 11h59
j’ai aussi reçu le mail et c’est directement dans l’objet du mail qu’ils indiquent le domaine concerné
" />
(j’ai eu 17 mails, donc je suis assez sûr de moi pour le coup!)
Le 04/03/2020 à 12h29
Aucun certif touché, bien
" />
Le 04/03/2020 à 12h57
Pour moi, les domaines donnés dans le mail quand je les vérifie avec leur outils ça dit “ok”.
Qui vivra verra.
Le 04/03/2020 à 13h23
0 sur 11
" />
Le 04/03/2020 à 17h04
ça dépend peut être aussi de la méthode utilisée pour valider les domaines. perso c’est via le DNS (ovh) et j’ai fait un carton plein!
Le 04/03/2020 à 17h49
J’ai peur de la taille de la CRL :)
Le 04/03/2020 à 18h32
Perso j’utilise Let’s Encrypt mais je n’ai pas souvenir d’avoir fourni un mail. Ils écrivent à quelle adresse ?
Le 04/03/2020 à 20h49
Leur outil certbot demande une adresse mail la première fois, mais peut être que ce n’est pas obligatoire ou que tu es passé par un autre moyen.
Est-ce que tu reçois des notifications d’expiration ?
Si besoin, il est possible de modifier l’adresse de contact avec certbot dans les commandes de gestion de compte.
https://certbot.eff.org/docs/using.html#certbot-command-line-options
manage your account:
–agree-tos Agree to the ACME server’s Subscriber Agreement
Le 05/03/2020 à 16h23
oula, tu me fais penser que j’ai pas vérifié ceux des raspberry via dns. merci du rappel impromptu ;)
Le 06/03/2020 à 09h47
J’utilise le client “Dehydrated” qui marche très bien et a moins de dépendance (Python n’est pas installé sur mes serveurs).
Dehydrated ne demande pas d’adresse mail. C’est sans doute optionnel côté Let’s Encrypt. Je vais regarder si Dehydrated permet de signaler un mail… Je n’en ai pas besoin pour les expirations (c’est automatique et monitoré), mais ça m’intéresse si il y a d’autres annonces de révocation.
Le 10/03/2020 à 10h08