Несколько часов без новых TLS-сертификатов. Let’s Encrypt остановил выдачу из-за проблемы в инфраструктуре доверия
Критическая ошибка в цепочке доверия заставила сервис срочно отключить выдачу и откатиться к корню Generation X.
Let’s Encrypt на несколько часов остановил выпуск всех TLS-сертификатов из-за ошибки в инфраструктуре доверия. Для сервиса, который каждый день автоматически выдает и продлевает сертификаты для миллионов сайтов, такая пауза выглядит редкой и заметной аварией, даже если основная работа восстановилась уже вечером 8 мая.
Инженеры Let’s Encrypt заметили возможный инцидент 8 мая в 18:37 UTC и сразу заморозили выдачу сертификатов. Остановка затронула рабочие и тестовые точки ACME API, включая acme-v02.api.letsencrypt.org и acme-staging-v02.api.letsencrypt.org, а также портальные среды в двух защищенных дата-центрах. Через два с половиной часа, в 21:03 UTC, организация сообщила о возобновлении выпуска.
Причиной стала проблема с кросс-подписанным сертификатом, который связывал действующий корневой сертификат Generation X с будущей инфраструктурой Generation Y. После восстановления Let’s Encrypt откатил выпуск всех новых сертификатов обратно на корень Generation X. Откат затронул два профиля ACME, tlsserver и shortlived.
Инцидент случился в неудобный момент. Уже 13 мая Let’s Encrypt планирует запустить сразу несколько крупных изменений платформы. Профиль tlsserver должен начать выдавать 45-дневные сертификаты в рамках перехода от 90-дневного срока действия к 45-дневному в течение ближайших двух лет. Профиль tlsclient, который используют для сертификатов TLS-клиентской аутентификации, ограничат только теми ACME-аккаунтами, которые уже запрашивали такие сертификаты раньше. Полную поддержку tlsclient Let’s Encrypt собирается прекратить 8 июля 2026 года.
Еще одно запланированное изменение касается классического ACME-профиля. Let’s Encrypt должен перевести его на промежуточные сертификаты Generation Y, которые выстраивают цепочку доверия к существующим корням X1 и X2. Такой переход нужен, чтобы сохранить совместимость с разными клиентскими средами и постепенно подготовить инфраструктуру к новой корневой цепочке.
По данным организации, все три изменения уже работают в тестовой среде и пока остаются в плане для запуска в рабочей среде 13 мая. Финальное решение зависит от того, как Let’s Encrypt закроет проблему с корневым сертификатом.
Let’s Encrypt не сообщил, успели ли какие-либо некорректно выпущенные сертификаты попасть к пользователям до остановки выдачи. Администраторам, которые полагаются на автоматическое продление через ACME, особенно при использовании профилей tlsserver и shortlived, лучше проверить журналы обновления за 8 мая и убедиться, что сертификаты строят цепочку доверия к ожидаемому корневому сертификату. Обсуждение инцидента и обновления доступны на community.letsencrypt.org.