Центр сертификации Let's Encrypt с 28 января 2022 года в срочном порядке отзовет ряд сертификатов SSL/TLS, выданных за последние 90 дней. Этот шаг может повлиять на миллионы активных сертификатов Let's Encrypt, пишет SecurityLab.
Как некоммерческий центр сертификации под управлением некоммерческой организации Internet Security Research Group (ISRG), Let's Encrypt бесплатно предоставляет сертификаты X.509 для шифрования Transport Layer Security.
ИБ-эксперты, изучившие репозиторий кода Let’s Encrypt в Boulder, сообщили ISRG о «двух нарушениях » в реализации центра сертификации метода проверки «TLS с использованием ALPN». Центру сертификации пришлось внести два изменения в то, как работает его проверка вызовов TLS-ALPN-01.
«Все активные сертификаты, которые были выпущены и проверены с помощью теста TLS-ALPN-01 до 26 января 2022 года, когда было развернуто наше исправление, считаются выпущенными некорректно», — пояснили специалисты Let’s Encrypt.
В соответствии с политикой сертификатов Let's Encrypt, которая требует, чтобы центр сертификации аннулировал сертификат в течение 5 дней при определенных условиях, некоммерческая организация начнет отзывать сертификаты 28 января 2022 года. По оценкам экспертов, затронуто менее 1% активных сертификатов.
По состоянию на ноябрь 2021 года количество всех активных сертификатов Let's Encrypt превысило 221 млн. Таким образом, количество затронутых активных сертификатов (1% или меньше) может достигать миллионов, если они были выпущены с некорректной проверкой TLS-ALPN-01.
Владельцы сайтов с затронутыми сертификатами Let's Encrypt сообщают о получении уведомлений по электронной почте с указанием обновить свои сертификаты.
«Если вы получили электронное письмо, значит, ваша учетная запись получила по крайней мере один сертификат за последние 90 дней, который был проверен с помощью вызова TLS-ALPN-01», — объясняет Let’s Encrypt.
С другой стороны, пользователи автоматизированных решений для управления сертификатами, таких как Caddy Web Server, могут быть спокойны. Сайты, использующие Caddy версии 2.4.2 или младше не должны предпринимать никаких действий при отзыве автоматических сертификатов.
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
Министерство обороны США внесло компанию-разработчика ИИ Anthropic в список неблагонадёжных поставщиков и намерено в течение полугода полностью заменить её решения на альтернативные.
Опрос об использовании искусственного интеллекта в профессиональной деятельности россиян показал, что нейросети уже выходят за рамки экспериментов и становятся частью повседневной работы.
Исследователи зафиксировали инцидент, в ходе которого ИИ-агент крупной технологической компании без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях.
Редакторы Википедии обнаружили, что массовое использование нейросетей для перевода статей на другие языки приводит к появлению в энциклопедии фактических ошибок и ложных ссылок.
Минцифры предложило онлайн-кинотеатрам новую схему передачи данных о пользовательской активности исследовательской компании Mediascope.
Редакция Cyber Media собрала все ключевые события этой недели.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
