5 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a acme.
TrustAsia revogou 143 certificados SSL/TLS após identificar um erro lógico no serviço LiteSSL ACME que permitia reutilização indevida de dados de validação entre contas ACME. Emissões foram suspensas, autorizações resetadas para REVOKED e o código corrigido; um relatório completo será publicado no Bugzilla da Mozilla.
Pesquisadores da FearsOff documentaram um bypass do WAF da Cloudflare via o caminho /.well-known/acme-challenge/, que permitia requisições alcançarem o origin mesmo com regras de bloqueio. A Cloudflare aplicou correção em 27/10/2025 e afirma não ter encontrado evidências de exploração ativa; operadores devem revisar exposição do origin e logs ACME.
Let’s Encrypt anunciou disponibilidade geral de certificados TLS de curta duração (160 horas) e certificados vinculados a endereços IP (IPv4/IPv6). A medida visa reduzir janelas de exposição a chaves privadas comprometidas, exigir automação via ACME e permitir TLS em cenários sem DNS. A CA também planeja reduzir o padrão para 45 dias ao longo dos próximos anos. A matéria não traz números de adoção ou cronograma detalhado.
Let’s Encrypt anunciou a hierarquia "Generation Y", com novas raízes e intermediárias cross‑assinadas, e avança para certificados de curta duração (teste de 45 dias via perfil tlsserver), além de descontinuar progressivamente o suporte a TLS Client Auth em perfis default. A transição usa perfis ACME para mitigar impactos.
Let’s Encrypt anunciou redução do prazo máximo de certificados de 90 para 45 dias até 2028, com fases em 2026 e 2027; também reduzirá o período de authorization reuse para 7 horas. Administradores devem revisar renovações e habilitar ARI.