Let's Encrypt は、大規模な失効によってネットユーザーにとってインターネットの一部が実質的に利用できなくなることを懸念し、欠陥のある 300 万のウェブセキュリティ証明書をすべてキャンセルする計画を中止した。
今週初め、HTTPS 証明書を無料で発行する非営利の認証局は、ソフトウェアのバグによって汚染された約 300 万の証明書を無効にする計画を発表した。
Let's Encrypt の自動証明書管理ソフトウェアにおけるプログラミング上のミスは、ドメインの証明書を作成し、数日後にさらに関連する証明書を作成するユーザーに影響を及ぼします。コードによって、実行する必要のある再チェックのプロセスが失敗していたのです。
ウェブサイト所有者は、3月5日午後3時(太平洋標準時)(協定世界時3時)までに証明書の一括失効を完了できるよう、できるだけ早く証明書を修正するよう指示されました。対策を講じなかった場合、修正されていないウェブサイトの訪問者は、ブラウザで安全でない接続の警告が表示されることになります。なお、削除プロセスは実際には3月4日午後12時(太平洋標準時)(協定世界時20時)に開始されました。
期限が短いのは、認証局が遵守することに同意したベースライン要件によるものです。それでも、Let's Encrypt は期限前にプロセスの半分しか完了できませんでした。
水曜日のフォーラム投稿で、Let's Encrypt のエグゼクティブディレクターのジョシュ・アース氏は、インターネットへの過度の損害を避けるため延期を発表した。
Let's Encrypt?水曜日に300万のHTTPS証明書を失効させましょう。チェックコードループの失敗が発生
続きを読む
「残念ながら、3月5日午後3時(太平洋標準時)(協定世界時午前3時、米国東部標準時午後9時)の失効期限までに、100万件以上の証明書が置き換えられない可能性が高いと考えています」とAas氏は述べた。「多くのサイトに支障をきたし、訪問者に不安を与えるよりも、期限までにこれらの証明書を失効させないことがインターネットの健全性にとって最善であると判断しました。」
Aas氏によると、本日夕方のコンプライアンス期限までに、置き換えられた1,706,505件の証明書が失効される予定だ。また、Let's Encryptによる発行を禁止する445件の証明書は、失効の優先度が高いものとして扱われた。
残りの約130万件については、Let's Encryptが過度の混乱を招かないと確信した時点で、一部が失効されます。その他の問題のある証明書は、未対応のまま放置されると、経年劣化により消滅するはずです。Aas氏によると、Let's Encryptの証明書の有効期限は90日間(自動更新を前提としているため)であるため、未対応の証明書は対処されなければ自動的に失効します。
The RegisterはLet's Encryptに対し、保護された証明書の所有者に猶予期間の延長を告げたかどうかを尋ねた。明らかに、告げられていないようだ。
「当社が電子メールアドレスを保有する、影響を受けた加入者の当初のグループには、証明書のエラーを知らせる電子メールが送信されました」と広報担当者は述べた。
そのメールは、サポートや最新情報を得るために、私たちのフォーラムへと誘導しました。フォーラムはLet's Encryptと交流するのに最適な場所なので、できるだけ多くの方をフォーラムへ誘導することを目指しています。®
