Let's Encrypt 証明書の失効に注意

Let's Encrypt から発光された証明書の一部が誤発行により強制的に失効させられていたようなのでメモ。
無効化の対象になっているのは TLS-ALPN-01 で発行された証明書だけです。

certbot などを使っている場合にはチャレンジのタイプはHTTP-01で、その他の方法を使っている人はあまりいない（というか、自分でチャレンジ方法を意識しないと使う事ができない）ので、TLS-ALPN-01という単語を聞いてもピンと来ない人には関連がないと思います。

TLS-ALPN-01は、仕様に問題があるとされたTLS-SNI-01の代替だったはずですが、やはりいろいろと難しいみたいですね。

Let's Encrypt証明書、誤発行発覚で約1％が1月28日失効 - 確認と更新を | TECH+

影響を受けるとされるのはTLS-ALPN-01検証方式を使ってLet's Encryptから発行されたTLS証明書。この検証方法の実装に仕様違反があることが明らかになり、2022年1月26日(協定世界時) 00:48よりも前にTLS-ALPN-01チャレンジで発行および検証されたすべての証明書が「誤発行」だったと見なすとのことだ。5日間の猶予を経た後、2022年1月28日(協定世界時) 16:00から順次証明書の失効手続きを開始すると説明している。

† 参考

• Let's Encrypt to revoke "mis-issued" certificates | Malwarebytes Labs