提醒：如果你使用Let’s Encrypt提供的免費SSL證書，請檢查你提交申請時留的郵箱，如果郵箱收到來自Let’s Encrypt的通知則你的證書很可能會在未來5天內(nèi)被吊銷。

訪問：

微軟Surface精選機型特惠6.3折起 翻新機滿100減100

如果你當時留的郵箱是隨便填寫的，那么基于穩(wěn)妥考慮建議你重新申請并簽發(fā)證書，確保舊證書不會被自動吊銷。

吊銷工作將從國際協(xié)調(diào)時2022年1月28日16:00開始(UTC +0，下同)，最遲會在5天內(nèi)完成吊銷，如果快的話那么最近簽發(fā)的錯誤證書很可能很快就會被吊銷。

吊銷原因：

根據(jù)Let’s Encrypt發(fā)布的公告，第三方倉庫Boulder向ISRG(Let’s Encrypt的運營方)發(fā)出通知，該機構(gòu)使用的ALPN TLS驗證存在兩個違規(guī)問題，因此ISRG必須對其TLS-APLN-01質(zhì)詢驗證的工作方式進行更改。

Let’s Encrypt工程師稱在2022年1月26日00:48部署修復(fù)程序時發(fā)現(xiàn)，所有通過TLS-APLN-01質(zhì)詢頒發(fā)和驗證的證書都是錯誤的。根據(jù)Let’s Encrypt Certificate Policy政策要求，證書頒發(fā)機構(gòu)需在5天內(nèi)讓錯誤證書失效，Let’s Encrypt計劃從2022年1月28日16:00開始吊銷錯誤證書。

但請注意，并非所有證書都受此問題影響，Let’s Encrypt僅會撤銷受影響的錯誤證書，當前已經(jīng)向相關(guān)用戶發(fā)送郵件通知。

Let’s Encrypt預(yù)計少于1%的活躍證書受此問題影響，但考慮到Let’s Encrypt活躍證書超過2.21億張，即便是1%也影響數(shù)百萬張證書，這對應(yīng)著數(shù)百萬個網(wǎng)站和網(wǎng)絡(luò)服務(wù)。一旦證書被吊銷HTTPS將出現(xiàn)連接失敗，也就是直接導(dǎo)致網(wǎng)站或服務(wù)無法連接。

潛在處理方法：

比較簡單直接的處理方法就是直接刪除舊的Let’s Encrypt證書然后重新申請簽發(fā)新證書，由于修復(fù)程序已經(jīng)被部署因此新簽發(fā)的證書是木有問題的，這樣解決比較簡單有效。因為Let’s Encrypt沒有提供方法來驗證證書是否是錯誤的，所以如果用戶沒預(yù)留真實郵箱或未收到通知郵件不知道自己的證書是否受影響。

寶塔面板用戶可在網(wǎng)站設(shè)置的SSL中，先關(guān)閉SSL功能，然后在證書夾中刪除Let’s Encrypt證書，最后重新申請簽發(fā)即可。

使用LNMP用戶操作方法類似，先將網(wǎng)站配置文件(.conf)中的SSL證書碼注釋掉，然后將證書存放路徑里的證書(.cer以及.key)刪除，重啟nginx使之生效，最后重新使用ACME或cerbot申請新證書即可。

有關(guān)此問題的官方公告：

https://community.letsencrypt.org/t/2022-01-25-issue-with-tls-alpn-01-validation-method/170450

關(guān)鍵詞： 安全 Let’s Encrypt錯誤簽發(fā)數(shù)百萬張證書 所有錯誤證