本周六起，Let's Encrypt 将撤销约 200 万个 HTTPS 证书

Let's Encrypt 是一个非营利性证书颁发机构，免费提供用于传输层安全（TLS）加密的证书。它是世界上最大的证书颁发机构，已被超过 2.76 亿个网站使用。日前他们宣布，将计划于本周六开始撤销一大批用户的证书，因为这些证书是不符合政策的。

在 Let's Encrypt 社区论坛的一篇文章中，网站可靠性工程师 Jillian Tessa 解释了这个原因：“一个第三方报告了在其自动证书管理环境（ACME）软件 Boulder 中实现「TLS Using ALPN」验证方法的代码中存在「两个不合规」的问题”。

因此在 Let's Encrypt 部署修复程序时，所有在 2022 年 1 月 26 日 UTC 00:48 之前，用 TLS-ALPN-01 质询颁发和验证的有效证书都会被视为是错误颁发的。遵照 Let's Encrypt 证书政策，他们有 5 天的时间来撤销这些证书，并将在 2022 年 1 月 28 日 UTC 16 时（北京时间 1 月 29 日 0 点）开始进行撤销证书的工作。

当你从 Let's Encrypt 获得证书时，根据 ACME 标准，该组织的服务器试图通过提出质询来验证你对相关资源的控制。这个质询可以使用 HTTP、DNS 或 TLS 进行，这取决于客户端设置。它的概念类似于发送电子邮件验证链接，必须点击才能完成在线账户的设置。

Let's Encrypt 将对提出的两个不合规的验证代码做出改动，这两个改动影响了专门使用 TLS-ALPN-01 的客户端应用程序。

更新之后，首先该软件将会强制使用 TLS 1.2 或更高版本进行网络连接。以前的代码允许通过 TLS 1.1 进行连接，而这在现在看来是不安全的。其次，该软件不再支持传统的 OID（对象标识符）1.3.6.1.5.5.7.1.30.1，Let's Encrypt 现在只接受标准化的 OID 1.3.6.1.5.5.7.1.31。

根据 Let's Encrypt 的统计，不到 1% 的有效证书会受到影响。考虑到目前 Let's Encrypt 签发的有效证书约有 2.21 亿份，因此从数量上看约有 200 万份证书受到影响，影响规模还是十分巨大的。

受影响的证书持有者将通过电子邮件收到撤销通知，届时将需要重新更新证书。