Let's Encrypt отзовёт ряд выданных сертификатов 28 января

26 января 2022 года компания Let's Encrypt уведомила подписчиков (с действующим электронным почтовым адресом), что 28 января 2022 года мы отменим сертификаты, выпущенные за последние 90 дней и подтвержденные с помощью вызова TLS-ALPN-01. Этот отзыв затрагивает только сертификаты, выданные и подтвержденные с помощью вызова TLS-ALPN-01. Далеко не все клиенты использовали этот тип вызова. Certbot не поддерживает этот тип вызова, поэтому, если вы не получили письмо от нас о необходимости преждевременного продления, пользователи Certbot не затронуты.

В этом сообщении и теме будут собраны ответы на часто задаваемые вопросы об этом отзыве, а также о том, как избежать проблем, обновив затронутые сертификаты досрочно. Если вас это коснулось, пожалуйста: внимательно прочитайте эту тему и поищите ответ на свой вопрос на форуме сообщества. Если вы не нашли ответа, пожалуйста, создайте новое сообщение в категории "Помощь", заполнив вопросы в шаблоне, который появляется при создании сообщения. Ниже вы найдете некоторые темы для определенных клиентов и F.A.Q., которые мы будем регулярно обновлять.

Заметки и отправные точки для конкретных клиентов

Caddy

bitnami/bn-cert 297

autocert 107

apache mod_md

apache mod_md найти затронутые сертификаты 30

Traefik

Если вы используете certbot 47, вы не затронуты.

В: Как узнать, использую ли я затронутый сертификат?

О: Если вы получили письмо, значит, у вас есть затронутый сертификат. Не все подписчики имеют контактную информацию, поэтому вы можете быть затронуты даже если не получили письмо. Если вы успешно выпустили сертификат, проверенный с помощью TLS-ALPN-01 до 00:48 UTC 26 января 2022 года, то ваш сертификат затронут.

Мы подготовили загружаемый список из 334 записей , в котором указаны затронутые регистрационные идентификаторы, серии и домены. Подписчики могут загрузить этот список и перепроверить информацию.

Если вы не получили письмо, вам будет проще всего получить серийный номер для домена, который вы контролируете, а затем свериться со списком. На Linux/BSD-подобных системах эта команда покажет вам текущий серийный номер сертификата example.com:

openssl s_client -connect example.com:443 -servername example.com \

-showcerts</dev/null 2>/dev/null | openssl x509 -noout -serial | awk -F'=' '{print $2}' 

Вам нужно  заменить example.com на ваше доменное, чтобы увидеть серийный номер вашего сертификата.

Вы можете посмотреть объяснение данных списка, а также скачать его с сайта https://letsencrypt.org/tlsalpnrevocation/ 72.

В: Что произойдет, если я не заменю свой сертификат вовремя?

О: Если вы не сможете обновить свой сертификат до 28 января, посетители вашего сайта могут видеть предупреждения о безопасности, в зависимости от их браузера/клиента, пока вы не обновите свой сертификат. Ваша клиентская документация ACME должна объяснить, как обновить сертификат.

В: Какие клиенты поддерживают/не поддерживают TLS-ALPN-01?

О: Мы знаем, что Caddy, Traefik, apache mod_md и пакет go autocert поддерживают TLS-ALPN-01. Certbot не поддерживает этот тип вызова.

В: Когда начнется отзыв сертификатов?

О: Мы начнем отзывать сертификаты с 16:00 UTC 28 января 2022 года.

https://community.letsencrypt.org/t/questions-about-renewing-before-tls-alpn-01-revocations/170449