Malwarebytesは1月27日(米国時間)、「Let's Encrypt to revoke "mis-issued" certificates|Malwarebytes Labs」において、2022年1月28日からLet's Encryptの1%未満のSSL/TLS証明書が失効する可能性があるとして、Let's Encryptの証明書を使っている場合は確認したほうがよいと注意喚起を行った。Let's Encryptがこの数日間でユーザーにその旨を示したメールを送付しており、2022年1月28日(協定世界時) 16:00から該当するSSL/TLS証明書が失効するとされている。

  • Let's Encrypt to revoke ”mis-issued” certificates|Malwarebytes Labs

    Let's Encrypt to revoke ”mis-issued” certificates|Malwarebytes Labs

影響を受けるとされるのはTLS-ALPN-01検証方式を使ってLet's Encryptから発行されたTLS証明書。この検証方法の実装に仕様違反があることが明らかになり、2022年1月26日(協定世界時) 00:48よりも前にTLS-ALPN-01チャレンジで発行および検証されたすべての証明書が「誤発行」だったと見なすとのことだ。5日間の猶予を経た後、2022年1月28日(協定世界時) 16:00から順次証明書の失効手続きを開始すると説明している。該当するユーザーはすぐに証明書の更新を行うように呼びかけられている。

誤発行されたと見られる証明書は有効な証明書の1%未満とされているが、Let's Encryptの発行している証明書はすでに2億を超えており、1%未満といってもかなりの数の証明書が影響を受ける可能性がある。Let's Encryptの証明書を利用している場合は状況を確認するとともに、失効の条件に該当する場合はただちに対処することが望まれる。