1. Tại sao đã mã hóa chứng chỉ HTTPS bị thu hồi?
Do chứng chỉ SSL / TLS được cấp không đúng cách, Let’s Encrypt, một tổ chức phi lợi nhuận giúp mọi người có được chứng chỉ miễn phí có kế hoạch thu hồi một số lượng đáng kể chứng chỉ của mình vào thứ Sáu ngày 28 tháng 1.
Theo diễn đàn cộng đồng, Let’s Encrypt đã gặp sự cố khi cố gắng xác thực chứng chỉ của họ bằng cách sử dụng lược đồ thử thách `tls-alpn-01 ′ của giao thức ACME.
Nhà phát triển Let’s Encrypt Aaron Gabl Nhà phát triển Aaron Gable của Let’s Encrypt đã thông báo về hai thay đổi được thực hiện đối với mã xác minh của tổ chức ảnh hưởng đến các ứng dụng khách sử dụng cụ thể TLS-ALPN-01. e đã nói trong một bài đăng riêng rằng hai thay đổi đã được thực hiện đối với mã xác minh của tổ chức ảnh hưởng đến các ứng dụng khách sử dụng cụ thể TLS-ALPN-01.
Các nỗ lực xác minh chứng chỉ bằng TLS 1.1 hoặc OID bị ngừng sử dụng sẽ không thành công trong phần mềm đã sửa đổi; những chứng chỉ được xác minh qua TLS-ALPN-01 theo mã cũ không tuân thủ chính sách Let’s Encrypt và do đó cần thu hồi.
2. Việc thu hồi Let’s Encrypt có phải là một thỏa thuận lớn không?
– Nhiều người không biết họ đang gặp rủi ro.
Theo thông báo thu hồi Let’s Encrypt, các email được gửi đến tất cả các nhà phát triển của Let’s Encrypt, Aaron Gable thông báo về hai thay đổi được thực hiện đối với mã xác minh của tổ chức ảnh hưởng đến các ứng dụng khách sử dụng cụ thể TLS-ALPN-01 . những người đăng ký có thông tin liên hệ mà họ có. Tuy nhiên, Let’s Encrypt không có thông tin liên hệ cho tất cả khách hàng của họ (vì về cơ bản họ chỉ là một nhà cung cấp chứng chỉ SSL), vì vậy họ có thể mất một khoảng thời gian để thông báo cho tất cả khách hàng của mình.
Tuy nhiên, thông qua diễn đàn Let’s Encrypt, bạn có thể xác định xem mình có chứng chỉ bị ảnh hưởng hay không. Việc thu hồi có thể đột ngột và lén lút nhưng hãy kiểm tra các diễn đàn và thông báo của họ hàng ngày.
Người dùng Let’s Encrypt không biết rằng họ đang gặp sự cố ngừng hoạt động do những lý do ngoài tầm kiểm soát của họ. Nhìn nhận vấn đề này có thể rất tốn kém cho các công ty nạn nhân
– Phải làm gì nếu bạn đang sử dụng Chứng chỉ Let’s Encrypt bị ảnh hưởng?
Trong trường hợp bạn là một trong những người không may mắn giờ có thể mất Bảo mật trang web của mình, chúng tôi sẵn sàng trợ giúp bạn. Thay vì chỉ cho bạn một loạt các bài đăng dài trên diễn đàn web hoặc đến một diễn đàn cộng đồng, chúng tôi sẽ hướng dẫn bạn quy trình tại đây.
Bước một: Kiểm tra chứng chỉ của bạn-
Bạn không chắc liệu chứng chỉ của mình có phải là những chứng chỉ không may mắn hay không – và nếu có, thì những chứng chỉ nào?
Nhìn vào hộp thư đến của bạn để xem liệu bạn có nhận được email như vậy từ Let’s Encrypt hay không.
Sử dụng danh sách chứng chỉ bị ảnh hưởng của Let’s Encrypt , bạn có thể kiểm tra xem số sê-ri chứng chỉ của mình có khớp với số sê-ri chứng chỉ được liệt kê ở đó hay không. Để tìm các chứng chỉ bị ảnh hưởng, hãy tải xuống danh sách trên và tìm ID tài khoản trong các dòng.
Nếu bạn đang chạy Linux hoặc hệ thống giống BSD, bạn có thể chạy lệnh sau:
openssl s_client -connect example.com:443 -servername example.com \
-showcerts</dev/null 2>/dev/null | openssl x509 -noout -serial | awk -F'=' '{print $2}'
Bước hai: Gia hạn chứng chỉ của bạn / Mua chứng chỉ đáng tin cậy
Sau khi xác minh rằng các chứng chỉ của bạn đã bị ảnh hưởng, bạn sẽ phải gia hạn chúng.
Để gia hạn chứng chỉ SSL / TLS của bạn bằng ứng dụng khách ACME, bạn sẽ cần tham khảo tài liệu cụ thể của nó.
Sử dụng lệnh sau nếu bạn đang sử dụng Certbot:
certbot refresh –force-Renew
Cuối cùng, nếu bạn đang sử dụng cPanel để quản lý chứng chỉ Let’s Encrypt, bạn cũng có thể gia hạn chúng ở đó.
Tuy nhiên, các chuyên gia khuyên bạn nên bảo mật trang web của mình bằng cách sử dụng một trong những Tổ chức phát hành chứng chỉ đáng tin cậy nhất như DigiCert, Sectigo, Geotrust, v.v. Bạn sẽ nhận được những lợi ích sau khi dựa vào các chuyên gia và các giải pháp đầu ngành của họ: