Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Bug Let’s Encrypt : les certificats non remplacés seront laissés jusqu’à expiration

Il y a quelques jours, le service annonçait la découverte d’un bug de revérification nécessitant la révocation de plus de trois millions de certificats TLS/SSL. Cette révocation prenait place dans la nuit de mardi à mercredi.

Hier cependant, l'équipe a fait un point d’étape, lâchant du lest par la même occasion. Selon elle, l’opération a bien fonctionné : plus de 1,7 million de certificats ont été remplacés en moins de 48 heures. Un rythme largement soutenu par l’automatisation du processus, tous les utilisateurs concernés ayant été prévenus par email.

Mais avant même la fin de cette transition, Let’s Encrypt savait que plus d’un million de certificats ne seraient pas remplacés à temps. Estimant qu’une révocation forcée aurait un trop gros impact sur ces sites et leurs visiteurs, le service va finalement les laisser tranquilles.

Il estime ne pas prendre un gros risque. D’abord parce que les certificats directement impactés par le bug ont été remplacés (dont 445 en « très haute priorité »). Ensuite parce que les certificats Let’s Encrypt ne sont valables que 90 jours. Les non remplacés vont donc « mourir de leur belle mort » et être renouvelés via un processus corrigé. 

7 commentaires
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 06/03/20 à 09:20:57

C'est une très bonne méthode : faire peur pour que tout le monde, surtout les sites les plus critiques, se bouge rapidement mais finalement ne rien faire sur ceux qui n'ont pas bougé, i.e. les moins critiques
Je ne sais pas si c'était prévu, mais bien joué à eux

Avatar de Dj Abonné
Avatar de DjDj- 06/03/20 à 09:32:39

Sauf que la prochaine fois, les gens vont se dire "la dernière fois, ils ont laissé les trucs fonctionner. Donc on ne va rien changer et attendre"

Édité par Dj le 06/03/2020 à 09:32
Avatar de Flykz Abonné
Avatar de FlykzFlykz- 06/03/20 à 09:37:28

Ils ont surtout fait ça parce que la durée des certifs est seulement de trois mois et qu'il me semble que c'est une des premieres fois. On verra pour la suite.

Avatar de tdelmas Abonné
Avatar de tdelmastdelmas- 06/03/20 à 12:25:55

"Bug Let’s Encrypt : les certificats non remplacés seront laissés jusqu’à expiration"

Pas exactement, ils disent précisément:

"We plan to revoke more certificates as we become confident that doing so will not be needlessly disruptive to Web users."

Traduction libre : "Nous prévoyons de révoquer davantage de certificats, lorsque nous seront confiants que cela ne perturbera pas inutilement les utilisateurs du web"

Source:https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3 ethttps://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114...

Édité par tdelmas le 06/03/2020 à 12:28
Avatar de alex.d. Abonné
Avatar de alex.d.alex.d.- 06/03/20 à 16:30:25

Par défaut, le script de renouvellement Let's encrypt regarde chaque semaine s'il y a un certificat à renouveler. Pourquoi faudrait-il renouveler certains certificats manuellement ? Il suffit d'attendre une semaine avant d'invalider les certificats, et c'est bon.

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 08/03/20 à 13:04:23

Je ne suis pas expert sur le sujet (principalement utilisateur de Let's Encrypt à titre perso et j'ai eu l'occasion d'intégrer des certificats issus d'une PKI en entreprise pour des applications), mais il me semble qu'un certificat révoqué ne peut être renouvelé et que cela équivaudrait à une nouvelle demande.

Let's Encrypt préconise de faire tourner l'agent une fois par semaine car le renouvellement ne commence qu'à partir de J-30 et les demandes sont limitées en nombre.

Après, Let's Encrypt a été intégré auprès d'hébergeurs pro qui permettent d'avoir une solution de certification gratuite pour leurs clients (OVH et Infomaniak l'utilisent par exemple), donc il vaut mieux gérer le problème de manière à éviter des impacts pour eux.

Avatar de gg40 INpactien
Avatar de gg40gg40- 09/03/20 à 17:18:29

Perso l'agent (certbot) je le fait tourner 1 fois par jour.
Et lorsque j'ai intégré la solution la doc officielle conseillait 2 fois par jour.

Moi je suis plutôt content de leur décision.
Les certifs let's encrypt ce n'est pas pour les "gros' sites de toute façon.
C'est pas la peine de faire chier les sysadmin :langue:
 

Il n'est plus possible de commenter cette actualité.