Dat klopt!

https://letsencrypt.status.io

https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/591ed0da457ea42d38001796

(op certificate.revocationcheck.com lukt het ook niet?)

Het komt vaker voor dat OCSP servers het verkeer niet aan kunnen.
Meestal lukt het na een tijdje wel weer op een minder druk moment voor de OCSP-server.

Mocht de OCSP-check gisteren nog goed zijn gegaan, dan is de kans dat het certificaat vandaag is ingetrokken erg klein.
Dus als het heel urgent is zou ik het dan wagen, maar als je kan wachten is dat net ietsje veiliger.

Confirm

https://tweakers.net/nieuws/124899/lets-encrypt-heeft-problemen-met-uitgifte-en-vernieuwen-certificaten.html

40 miljoen certificaten, en dan uit het oog verliezen dat dit wel eens problemen kan gaan geven op de OCSP server?

"een beetje dom"

https://letsencrypt.status.io/pages/55957a99e800baa4470002da
Daar valt te lezen dat ze eerst als hun eigen CA-software (Boulder) hebben teruggedraaid naar een eerdere versie, om vervolgens te constateren dat dat het probleem niet voor alle users oploste. Dat bleek bij het door hun gebruikte CDN mis te gaan.

OCSP loopt dus bij hun via een CDN. Dat klinkt niet alsof ze uit het oog hadden verloren dat grote aantallen certificaten tot een zware belasting van een server hadden geleid, een CDN inzetten is een maatregel die je neemt als je dat wel inziet.

Een beetje dom? Dat lijkt mee te vallen. Ik denk eerder dat LetsEncrypt nog zo nieuw is je af en toe een kinderziekte onvermijdelijk is.

Als je op GitHub naar Boulder (hun eigen CA-software) kijkt dan kan je zien dat er nog druk aan ontwikkeld wordt, er zijn dagelijks meerdere commits. Dat wil niet zeggen dat dat ook allemaal meerdere keren per dag live gaat, maar de software is kennelijk nog niet in een fase beland dat er niet meer veel aan hoeft te gebeuren. Wijzigingen brengen risico's op fouten mee. Als je live-omgeving het hele internet is dan is het onmogelijk om een testomgeving op te tuigen die even groot is, je hebt geen tweede internet tot je beschikking waar een tweede wereldbevolking even druk gebruik van maakt als van van het live-internet, dat is er domweg niet. Dat betekent dat zelfs als ze niet dom zijn maar uitstekend testen er een risico overblijft dat ze problemen pas in de live-omgeving tegenkomen. En dat zal dan ook af en toe gebeuren.

https://github.com/letsencrypt/boulder/commits/master

LetsEncrypt is live gegaan voor het zelfs af was. Dat zou je best een beetje dom kunnen noemen.
Toen het net live was zat er nog niet eens een script bij om het certificaat automatisch te verlengen, dat moest je
zelf dokteren. Dat schijnt nu wel voor elkaar te zijn. Ik heb er niet meer naar gekeken toen ik ontdekte dat als je
dat script opstart hij allerlei pakketten op je systeem gaat installeren en extra code downloaden en uitvoeren zonder
dat van te voren te melden. Daar houd ik niet zo van.

Probleem verklaard (in het Duits): https://www.heise.de/security/meldung/Doppel-Slash-sorgte-fuer-Ausfall-von-Let-s-Encrypt-3719227.html

Dat is de straf voor niet eerst goed testen voordat je wijzigingen doorvoert.

Je kan het ook, zoals Let's Encrypt zelf deed, een public beta noemen. Dat is een test. Hint: als je aan een test deelneemt doe je er verstandig aan om fouten te verwachten. Zo'n test dient ervoor om die boven water te krijgen, die doen ze niet voor de vorm.
Ze maakten er totaal geen geheim van hoe ze te werk gingen. Als dat je niet bevalt kan je er simpelweg voor kiezen het (nog) niet te gebruiken. Als het je niet bevalt en je gebruikt het toch dan kan zou je dat best een beetje dom kunnen noemen. En klagen dat iets niet af is terwijl volkomen duidelijk is gemaakt dat het nog in ontwikkeling is, dat is iets waar ik weer niet van houd.

Waar ik nog minder van houd is dat mensen mijn tekst verdraaien door een stuk weg te knippen waardoor een
opmerking ineens op iets anders lijkt te slaan!