Let’s Encrypt : trois millions de certificats révoqués à cause d’un bug
Le 04 mars 2020 à 09h44
1 min
Internet
La procédure commencera ce soir, suite à la découverte d’un bug important dans le processus de revérification. Sur les 116 millions de certificats générés à ce jour, 3 048 289 commenceront à être révoqués entre 21 h et 4 h demain.
Dans le lot, environ un million sont des duplicatas. Une adresse spécifique a été mise en place pour permettre aux utilisateurs, entreprises et autres de vérifier s’ils sont concernés.
En parallèle, des emails sont envoyés à toutes les adresses utilisées lors des créations de comptes. Si vous êtes touché(e) par le problème, il faudra peut-être renouveler le certificat.
Let’s Encrypt l’a peut-être déjà fait automatiquement, si le renouvellement est intervenu durant les derniers jours (après la découverte du bug).
Le 04 mars 2020 à 09h44
Commentaires (20)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/03/2020 à 09h47
#1
Mes certificats n’ont pas l’air touchés, pourtant l’un d’eux a été généré il y a plusieurs semaines et pas encore renouvelé.
Le 04/03/2020 à 10h05
#2
Idem, pas de soucis de mon côté.
Le 04/03/2020 à 10h07
#3
J’ai tiré le gros lot :-) Mail reçu pour le renouvellement de certificat ;-)
Le 04/03/2020 à 10h16
#4
Pas de certif chez eux
" />
Le 04/03/2020 à 10h19
#5
Moi j’ai du renouveler les miens que j’avais renouvelé il y’a à moins d’un mois
Le 04/03/2020 à 10h35
#6
Pareil, mes 7 certifs ont dû être renouvellés :)
Le 04/03/2020 à 11h29
#7
1 sur 4 chez moi :(
c’est pas gentil ça
Le 04/03/2020 à 11h35
#8
C’est vraiment pas cool.
J’ai bien reçu leur mail d’avertissement hier mais ils ne précisent pas quelle sont les domaines concernés…
Et quand t’a à plusieurs milliers de certificats chez eux… Bah voilà :(
Je vais lancer des forces renew quand les charges serveurs auront diminué ce soir. je ne doute pas leur infr va être bien chargé.
Vraiment c’est moche.
Le 04/03/2020 à 11h44
#9
Donc c’est repassé sous le milliard ?
" />
Le 04/03/2020 à 11h59
#10
j’ai aussi reçu le mail et c’est directement dans l’objet du mail qu’ils indiquent le domaine concerné
" />
(j’ai eu 17 mails, donc je suis assez sûr de moi pour le coup!)
Le 04/03/2020 à 12h29
#11
Aucun certif touché, bien
" />
Le 04/03/2020 à 12h57
#12
Pour moi, les domaines donnés dans le mail quand je les vérifie avec leur outils ça dit “ok”.
Qui vivra verra.
Le 04/03/2020 à 13h23
#13
0 sur 11
" />
Le 04/03/2020 à 17h04
#14
ça dépend peut être aussi de la méthode utilisée pour valider les domaines. perso c’est via le DNS (ovh) et j’ai fait un carton plein!
Le 04/03/2020 à 17h49
#15
J’ai peur de la taille de la CRL :)
Le 04/03/2020 à 18h32
#16
Perso j’utilise Let’s Encrypt mais je n’ai pas souvenir d’avoir fourni un mail. Ils écrivent à quelle adresse ?
Le 04/03/2020 à 20h49
#17
Leur outil certbot demande une adresse mail la première fois, mais peut être que ce n’est pas obligatoire ou que tu es passé par un autre moyen.
Est-ce que tu reçois des notifications d’expiration ?
Si besoin, il est possible de modifier l’adresse de contact avec certbot dans les commandes de gestion de compte.
https://certbot.eff.org/docs/using.html#certbot-command-line-options
manage your account:
–agree-tos Agree to the ACME server’s Subscriber Agreement
Le 05/03/2020 à 16h23
#18
oula, tu me fais penser que j’ai pas vérifié ceux des raspberry via dns. merci du rappel impromptu ;)
Le 06/03/2020 à 09h47
#19
J’utilise le client “Dehydrated” qui marche très bien et a moins de dépendance (Python n’est pas installé sur mes serveurs).
Dehydrated ne demande pas d’adresse mail. C’est sans doute optionnel côté Let’s Encrypt. Je vais regarder si Dehydrated permet de signaler un mail… Je n’en ai pas besoin pour les expirations (c’est automatique et monitoré), mais ça m’intéresse si il y a d’autres annonces de révocation.
Le 10/03/2020 à 10h08
#20