Cấp phát chứng chỉ ACME khẩn cấp: Sự cố nghiêm trọng

09/05/2026
3 mins read
Cấp phát chứng chỉ ACME khẩn cấp: Sự cố nghiêm trọng

Let’s Encrypt đã tạm dừng phát hành chứng chỉ vào ngày 8/5/2026 sau khi phát hiện một sự cố nghiêm trọng liên quan đến cross-signed certificate giữa Generation X root và hạ tầng Generation Y root. Sự cố này làm gián đoạn cấp phát chứng chỉ ACME trên cả môi trường production lẫn staging trong vài giờ.

Nội dung
Sự cố ảnh hưởng đến cấp phát chứng chỉ ACME
Khôi phục dịch vụ và rollback root certificate
Liên quan đến các thay đổi nền tảng sắp triển khai
Thay đổi với tlsserver profile
Thay đổi với tlsclient profile
Chuyển đổi classic ACME profile
Ảnh hưởng đến vận hành và kiểm tra hệ thống
Theo dõi cập nhật và nguồn tham khảo

Sự cố ảnh hưởng đến cấp phát chứng chỉ ACME

Vào lúc 18:37 UTC, hệ thống phát hiện dấu hiệu của một sự cố tiềm ẩn và ngay lập tức tạm dừng toàn bộ certificate issuance như một biện pháp phòng ngừa. Động thái này tác động trực tiếp đến các điểm cuối ACME API và cổng quản trị của cả hai môi trường.

Các thành phần bị ảnh hưởng gồm:

  • acme-v02.api.letsencrypt.org – Production ACME API endpoint
  • acme-staging-v02.api.letsencrypt.org – Staging ACME API endpoint
  • Production portal – Cổng quản trị production
  • Staging portal – Cổng quản trị staging

Hạ tầng liên quan được triển khai trên hai datacenter độ tin cậy cao. Trong khoảng thời gian gián đoạn, các hệ thống tự động dựa trên ACME-based renewal workflows có thể không hoàn tất vòng gia hạn như dự kiến.

Khôi phục dịch vụ và rollback root certificate

Đến 21:03 UTC, khoảng 2,5 giờ sau khi phát hiện sự cố, việc cấp phát chứng chỉ đã được khôi phục. Tuy nhiên, do vấn đề cross-signed certificate, toàn bộ quá trình tạo chứng chỉ được rollback về Generation X root.

Việc rollback này ảnh hưởng cụ thể đến hai hồ sơ chứng chỉ ACME:

  • tlsserver
  • shortlived

Người quản trị cần kiểm tra các chứng chỉ được cấp quanh mốc 8/5/2026 để đảm bảo chúng chain đúng về root mong đợi. Nếu môi trường sử dụng tự động hóa qua ACME, các log gia hạn cần được đối chiếu kỹ để phát hiện sai lệch chuỗi chứng chỉ.

Liên quan đến các thay đổi nền tảng sắp triển khai

Sự cố xảy ra ngay trước thời điểm Let’s Encrypt dự kiến đưa vào hoạt động ba thay đổi lớn vào 13/5/2026. Các thay đổi này đã được triển khai trên môi trường staging và vẫn theo lịch production rollout sau khi vấn đề root certificate được xử lý.

Thay đổi với tlsserver profile

Hồ sơ tlsserver sẽ bắt đầu phát hành chứng chỉ có thời hạn 45 ngày, nằm trong lộ trình giảm vòng đời chứng chỉ từ 90 ngày xuống 45 ngày trong hai năm tiếp theo. Đây là một thay đổi quan trọng đối với các hệ thống phụ thuộc vào cập nhật bản vá và tự động gia hạn chứng chỉ thường xuyên.

Thay đổi với tlsclient profile

Hồ sơ tlsclient, dùng cho TLS client authentication certificates, sẽ chỉ cho phép các ACME account từng yêu cầu chứng chỉ từ hồ sơ này. Hỗ trợ đầy đủ cho chứng chỉ tlsclient sẽ kết thúc vào 8/7/2026.

Chuyển đổi classic ACME profile

Hồ sơ classic ACME cũng được lên kế hoạch chuyển sang Generation Y intermediates, chain đến các root X1X2 hiện có. Mục tiêu của thay đổi là duy trì khả năng tương thích rộng với môi trường máy khách.

Tham chiếu trạng thái dịch vụ có thể xem tại: https://letsencrypt.status.io/

Ảnh hưởng đến vận hành và kiểm tra hệ thống

Sự cố này không công bố chi tiết về việc có chứng chỉ phát hành sai nào đã được phân phối trước khi việc cấp phát bị dừng hay không. Do đó, trọng tâm vận hành là rà soát các phiên cấp phát trong khung giờ sự cố và xác minh chuỗi tin cậy của chứng chỉ.

Đối với môi trường sử dụng ACME automation, nên kiểm tra các điểm sau:

  • Log gia hạn chứng chỉ quanh thời điểm 8/5/2026.
  • Chuỗi chứng chỉ có chain đúng về Generation X root hay không.
  • Các profile tlsservershortlived có bị ảnh hưởng bởi rollback hay không.
  • Trạng thái cấp phát trên production và staging có đồng nhất hay không.

Với các hệ thống triển khai tự động, sự cố cấp phát chứng chỉ ACME có thể gây lỗi gia hạn, lỗi xác thực TLS, hoặc gián đoạn các workflow phụ thuộc vào chứng chỉ ngắn hạn. Mức độ ảnh hưởng thực tế phụ thuộc vào thời điểm refresh và tần suất đồng bộ của từng môi trường.

Theo dõi cập nhật và nguồn tham khảo

Let’s Encrypt khuyến nghị quản trị viên theo dõi log và xác minh lại các chứng chỉ được cấp trong khoảng thời gian sự cố. Hỗ trợ cộng đồng và thông báo cập nhật được cung cấp qua trang cộng đồng chính thức.

Nguồn tham khảo bổ sung:

Trong bối cảnh này, cấp phát chứng chỉ ACME cần được giám sát chặt chẽ hơn bình thường, đặc biệt khi các profile, root và intermediates đang trong giai đoạn chuyển đổi. Việc xác minh chuỗi chứng chỉ, trạng thái renewal và tính nhất quán giữa staging với production là các bước cần thiết để giảm rủi ro vận hành.