TLS ALPN 01

Let’s Encrypt akan mulai mencabut sertifikat SSL/TLS tertentu yang diterbitkan dalam 90 hari terakhir karena bug, mulai 28 Januari 2022. Langkah ini dapat memengaruhi jutaan sertifikat Let’s Encrypt yang aktif.

ISRG diinformasikan oleh pihak ketiga yang memeriksa repo kode Let’s Encrypt’s Boulder bahwa ada “dua kejanggalan” dalam penerapan metode validasi “TLS using ALPN” oleh otoritas sertifikat [1, 2].

Untuk mematuhi Kebijakan Sertifikat Let’s Encrypt, yang mengharuskan otoritas sertifikat untuk membatalkan Sertifikat dalam waktu 5 hari dalam kondisi tertentu, organisasi nirlaba akan mulai mencabut sertifikat pada pukul 16:00 UTC pada tanggal 28 Januari 2022.

Bagaimanapun, tidak semua sertifikat dipengaruhi oleh penerapan metode validasi “TLS menggunakan ALPN” yang tidak tepat. Pencabutan yang direncanakan ini hanya akan berlaku untuk sertifikat yang diterbitkan dengan metode validasi TLS-ALPN-01 yang cacat.

“Kami memperkirakan [kurang dari] 1% sertifikat aktif terpengaruh. Pelanggan yang terkena pencabutan akan menerima pemberitahuan email jika akun ACME mereka berisi alamat email yang valid. Jika Anda terpengaruh oleh pencabutan ini dan memerlukan bantuan untuk memperbarui sertifikat Anda silakan ajukan pertanyaan di utas ini,” lebih lanjut menjelaskan insinyur.

Pada November 2021, jumlah semua sertifikat Let’s Encrypt yang aktif melampaui 221 juta.

Oleh karena itu, jumlah sertifikat aktif yang terpengaruh (1% atau kurang) mungkin bisa mencapai jutaan—jika ini diterbitkan dengan validasi tantangan TLS-ALPN-01 yang cacat.

Pemilik situs dengan sertifikat Let’s Encrypt yang terpengaruh melaporkan menerima pemberitahuan email, menginstruksikan mereka untuk memperbarui sertifikat mereka saat pencabutan akan segera dimulai.

Let’s Encrypt mengirimkan pemberitahuan email (Twitter)

“Jika Anda menerima email tersebut, maka akun Anda telah berhasil memperoleh setidaknya satu sertifikat dalam 90 hari terakhir yang divalidasi menggunakan tantangan TLS-ALPN-01,” jelas Let’s Encrypt di utas tersebut.

Mengingat pemberitahuan singkat, tidak semua pengguna mungkin senang dengan langkah Let’s Encrypt yang tiba-tiba tetapi perlu.

Sisi baiknya, mereka yang menggunakan solusi manajemen sertifikat otomatis seperti Caddy Web Server bisa tenang.

“Caddy otomatis menstaples OCSP untuk semua sertifikat yang relevan. Ini akan me-refresh staples sekitar setengah masa berlakunya. Jika status berikutnya Dicabut, Caddy akan segera mengganti sertifikat.”

Pembaruan, 13:54 ET: Menambahkan referensi ke bug lain yang juga menyebabkan pencabutan jutaan sertifikat Let’s Encrypt pada tahun 2020.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

TLS ALPN 01

Cookies Settings