Центр сертификации Let's Encrypt с 28 января 2022 года в срочном порядке отзовет ряд сертификатов SSL/TLS, выданных за последние 90 дней. Этот шаг может повлиять на миллионы активных сертификатов Let's Encrypt, пишет SecurityLab.
Как некоммерческий центр сертификации под управлением некоммерческой организации Internet Security Research Group (ISRG), Let's Encrypt бесплатно предоставляет сертификаты X.509 для шифрования Transport Layer Security.
ИБ-эксперты, изучившие репозиторий кода Let’s Encrypt в Boulder, сообщили ISRG о «двух нарушениях » в реализации центра сертификации метода проверки «TLS с использованием ALPN». Центру сертификации пришлось внести два изменения в то, как работает его проверка вызовов TLS-ALPN-01.
«Все активные сертификаты, которые были выпущены и проверены с помощью теста TLS-ALPN-01 до 26 января 2022 года, когда было развернуто наше исправление, считаются выпущенными некорректно», — пояснили специалисты Let’s Encrypt.
В соответствии с политикой сертификатов Let's Encrypt, которая требует, чтобы центр сертификации аннулировал сертификат в течение 5 дней при определенных условиях, некоммерческая организация начнет отзывать сертификаты 28 января 2022 года. По оценкам экспертов, затронуто менее 1% активных сертификатов.
По состоянию на ноябрь 2021 года количество всех активных сертификатов Let's Encrypt превысило 221 млн. Таким образом, количество затронутых активных сертификатов (1% или меньше) может достигать миллионов, если они были выпущены с некорректной проверкой TLS-ALPN-01.
Владельцы сайтов с затронутыми сертификатами Let's Encrypt сообщают о получении уведомлений по электронной почте с указанием обновить свои сертификаты.
«Если вы получили электронное письмо, значит, ваша учетная запись получила по крайней мере один сертификат за последние 90 дней, который был проверен с помощью вызова TLS-ALPN-01», — объясняет Let’s Encrypt.
С другой стороны, пользователи автоматизированных решений для управления сертификатами, таких как Caddy Web Server, могут быть спокойны. Сайты, использующие Caddy версии 2.4.2 или младше не должны предпринимать никаких действий при отзыве автоматических сертификатов.
Редакция Кибер Медиа собрала для вас главные события этой недели из мира кибербезопасности.
Исследователи SafeDep разобрали исходный код Miasma, который появился на GitHub через скомпрометированные аккаунты разработчиков.
OpenAI опубликовала план развития, в котором описала новый этап работы компании.
Специалист по безопасности под псевдонимом Dead Eclipse продолжает публиковать сведения о ранее неизвестных уязвимостях Windows после конфликта с Microsoft.
Использование встроенного антивируса Windows Defender может нести серьёзные риски для корпоративных пользователей из-за обнаруженной уязвимости, позволяющей хакерам получать права администратора.
Специалисты центра исследования киберугроз Solar 4RAYS обнаружили гигантский ботнет ProxyCB.
Эксперты BI ZONE Mail Security зафиксировали масштабную кибератаку на сотрудников российских компаний: только за последнюю неделю мая 2026 года злоумышленники разослали более тысячи фишинговых писем, спекулируя на теме пассивного дохода и инвестиций.
Подавляющее большинство опрошенных россиян согласны с тем, что цифровая среда упрощает их жизнь, а 90% уверены, что каждый человек должен уметь самостоятельно взаимодействовать с современными приложениями и сервисами.
Почти треть опрошенных российских компаний сталкивалась с утечками клиентских данных — показало исследование сервиса телефонии «Новофон».
Специалисты компании F6 выявили новую многоуровневую мошенническую схему в Telegram: злоумышленники используют страх граждан перед атаками беспилотников, чтобы в итоге втянуть их в фейковые розыгрыши и выманить деньги от имени государственного кадрового портала.
