Let’s Encrypt revocherà migliaia di certificati SSL

La novità che può interessare i gestori di siti web che usano i servizi Let’s Encrypt  è che sono irregolari i certificati SSL / TLS emessi negli ultimi 90 giorni: dal 28 Gennaio Let’s Encrypt revocherà i certificati non validi.

Che cosa è Let’s Encrypt?

Let’s encrypt è un authority di certificazione no profit di Internet Security Research Group (ISRG). Fornisce gratuitamente le certificazioni per la criptazione SSL/TLS sui siti web ed è popolarissima. Attualmente conta oltre 221 milioni di certificazioni attive.

Irregolari i certificati SSL / TLS emessi negli ultimi 90 giorni

La novità che può interessare i gestori di siti web che usano i servizi Let’s Encrypt  è che sono irregolari i certificati SSL / TLS emessi negli ultimi 90 giorni. Per questo, dal 28 Gennaio, Let’s Encrypt revocherà i certificati non validi. L’ISRG è stato avvisato da terze parti che hanno esaminato il repository del Boulder di Let’s Encrypt. E’ nel corso di queste verifiche che hanno riscontrato due irregolarità nel metodo di convalida “TLS using ALPN”.

Per saperne di più, l’annuncio di Let’s Encrypt nella community > 2022.01.25 Issue with TLS-ALPN-01 Validation Method

Per questo motivo l’authority ha effettuato le dovute correzioni sul metodo di validazione TLS-ALPN-01, quindi i certificati rilasciati dopo questa correzione sono validi.

Tutti i certificati attivi che sono stati emessi prima delle 00.48 UTC del 26 Gennaio 2022, quando cioè è stata implementata la nostra correzione, sono da considerarsi emessi in modo errato”

parola di Jillian, Let’s Encrypt Site Reliability Engineer.

Revoca dei certificati: quali tempistiche?

La revoca dei certificati non validi partirà appunto il 28 Gennaio 2022, dalle ore 16.00 UTC secondo le policy di Let’s Encrypt stessa, che obbliga l’authority a invalidare un certificato entro 5 giorni. Per rassicurare gli utenti, l’authority ha anche “perimetrato” il problema. Non tutti i certificati emessi negli ultimi 90 giorni infatti utilizzano il metodo di convalida TLS-ALPN-01 e, stimano, il problema riguarderebbe solo l’1% dei certificati attivi.

I soggetti interessati ricerveranno notifiche email, sul modello di quella che mostriamo qui sotto:

Non tutti gli utenti hanno gradito la decisione, subitanea e repentina, di Let’s Encrypt ma tant’è: i possessori di siti web che vedranno invalidato il loro certificato, dovranno provvedere a sostituirlo con uno valido. Ne va della conformità del sito web al GDPR e alle altre normative di sicurezza e privacy degli utenti.


Vuoi verificare se il tuo sito web è conforme alla normativa vigente? Contattaci, ti aiuteremo noi!

ArabicChinese (Simplified)DutchEnglishFrenchGermanItalianPortugueseRussianSpanish