Let’s Encrypt trekt 3 miljoen certificaten in
Op 2 maart 2020 heeft Let’s Encrypt gecommuniceerd dat zij op 4 maart 2020 een deel van de door hen uitgegeven certificaten zullen intrekken [1]. LET OP: De certificaten worden vanaf 4 maart 2020 20:00 UTC ingetrokken. Dit betreft de Let’s Encrypt certificaten die zijn uitgegeven vóór 29 februari 2020 03:10 UTC. Let’s Encrypt heeft aangegeven dat het om ongeveer 3 miljoen certificaten gaat van de totaal 116 miljoen actieve Let’s Encrypt certificaten [2]. De aanleiding is een op 29 februari 2020 gevonden fout in de door hen gebruikte CA software [3].
Update 4 maart 11.35 uur: Tijd is aangepast naar 4 maart 20.00 UTC.
Websites die gebruik maken van certificaten die ingetrokken worden zullen vanaf dat moment een melding vertonen van een ongeldig certificaat. Dat betekent dat de gebruiker een melding krijgt en hierdoor mogelijkerwijs de website niet vertrouwt. Naast websites zouden dergelijke certificaten bij uw organisatie ook gebruikt worden voor andere processen. Het NCSC heeft gezien dat ook Nederlandse domeinen dit soort Let’s Encrypt certificaten gebruiken. Het is aannemelijk dat het een substantieel aantal Nederlandse domeinen betreft.
Wat moet ik doen?
- Ga na op welke plekken in uw organisatie Let’s Encrypt certificaten worden gebruikt.
- We adviseren organisaties om zo snel mogelijk twee controles uit te voeren:
- 1: kijk in het bestand caa-rechecking-incident-affected-serials.txt.gz of de certificaten van uw organisatie in de lijst voorkomen. Zie link [4]
- 2: test uw domeinen op https://unboundtest.com/caaproblem.html om te zien of de desbetreffende certificaten ingetrokken worden [5]
- Iedere organisatie met getroffen domeinen wordt met klem geadviseerd deze certificaten ZO SNEL MOGELIJK te vernieuwen.
- LET OP: deze certificaten moeten GEFORCEERD vernieuwd worden op de desbetreffende systemen (certbot renew --force-renewal) [2]
[1] https://letsencrypt.org/caaproblem/
[2] https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
[3] https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
[4] https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz