Let’s Encrypt revocará 2 millones de certificados HTTPS

«Let’s Encrypt», una organización sin ánimo de lucro y que ha ayudado a millones de usuarios y empresas de todo el mundo a obtener de una forma cómoda (y sobre todo gratuita) su certificado HTTPS para su página web, advierte que en los próximos días retirará hasta dos millones de certificados a causa de un error de software.

En un artículo que han publicado en su blog corporativo, explican que el pasado martes, un usuario informó de «dos irregularidades» en el código que implementa el método de validación «TLS Using ALPN» (BRs 3.2.2.4.20, RFC 8737) en Boulder, su software de gestión automática de certificados.

A partir de aquí, la compañía explica que «todos los certificados activos que fueron emitidos y validados con el challenge TLS-ALPN-01 antes de las 0048 UTC del 26 de enero de 2022, se consideran emitidos erróneamente». ¿En qué se traduce esto? En que durante los próximos cinco días, la compañía revocará el permiso a estos dos millones de certificados que se consideran que están afectados por esta vulnerabilidad.

La organización estima sin embargo que menos del 1% de los certificados activos están afectados, por lo que aunque el número total es grande, las posibilidades de que el tuyo se encuentre entre los revocados son pequeñas; se calcula de hecho, que en estos momentos la organización cuenta con más de 220 millones de certificados activos que siguen funcionando con total normalidad.

En cualquier caso la compañía también asegura que los titulares de los certificados problemáticos serán notificados de dicha revocación por correo electrónico, proporcionándoles a continuación instrucciones precisas sobre los pasos que deberán dar a continuación.