Let's Encrypt is 'n gemeenskapsbeheerde, nie-winsgewende sertifikaatowerheid wat gratis sertifikate aan almal verskaf. oor die komende herroeping van baie voorheen uitgereikte TLS/SSL-sertifikate. Van die 116 miljoen tans geldige Let's Encrypt-sertifikate, sal 'n bietjie meer as 3 miljoen (2.6%) herroep word, waarvan ongeveer 1 miljoen duplikate is wat aan dieselfde domein gekoppel is (die fout het hoofsaaklik sertifikate geraak wat baie gereeld opgedateer word, wat is waarom daar so baie duplikate is). Die herroeping is geskeduleer vir 4 Maart (die presiese tyd is nog nie bepaal nie, maar die herroeping sal eers om 3:XNUMX MSK plaasvind).
Die behoefte aan 'n herroeping is as gevolg van die ontdekking op 29 Februarie . Die probleem verskyn sedert 25 Julie 2019 en beïnvloed die stelsel om CAA-rekords in DNS na te gaan. CAA Rekord (,Sertifikaatowerheidmagtiging) laat die domeineienaar toe om 'n sertifiseringsowerheid uitdruklik te definieer waardeur sertifikate vir 'n gespesifiseerde domein gegenereer kan word. As 'n GR nie in die BLO-rekords gelys is nie, moet dit die uitreiking van sertifikate vir 'n gegewe domein blokkeer en die domeineienaar inlig oor pogings om te kompromieë. In die meeste gevalle word die sertifikaat onmiddellik aangevra nadat die BLO-tjek geslaag is, maar die uitslag van die tjek word vir nog 30 dae as geldig beskou. Die reëls vereis ook dat herverifikasie nie later nie as 8 uur voor die uitreiking van 'n nuwe sertifikaat uitgevoer moet word (m.a.w. as 8 uur verloop het sedert die laaste inspeksie wanneer 'n nuwe sertifikaat aangevra word, word 'n herverifikasie vereis).
Die fout kom voor as die sertifikaatversoek verskeie domeinname gelyktydig dek, wat elkeen 'n CAA-rekordkontrole vereis. Die kern van die fout is dat ten tyde van herkontrolering, in plaas van om alle domeine te bekragtig, slegs een domein uit die lys weer nagegaan is (as die versoek N domeine gehad het, in plaas van N verskillende kontrole, is een domein nagegaan N tye). Vir die oorblywende domeine is 'n tweede kontrole nie uitgevoer nie en die data van die eerste kontrole is gebruik wanneer 'n besluit geneem is (d.w.s. data wat tot 30 dae oud was, is gebruik). Gevolglik kon Let's Encrypt binne 30 dae na die eerste verifikasie 'n sertifikaat uitreik, selfs al is die waarde van die CAA-rekord verander en Let's Encrypt is van die lys van aanvaarbare sertifiseringsowerhede verwyder.
Geaffekteerde gebruikers word per e-pos in kennis gestel indien kontakinligting ingevul is toe hulle die sertifikaat ontvang het. Jy kan jou sertifikate nagaan deur af te laai reeksnommers van herroepe sertifikate of gebruik (geleë op die IP-adres, in die Russiese Federasie deur Roskomnadzor). U kan die reeksnommer van die sertifikaat vir die domein van belang uitvind deur die opdrag te gebruik:
openssl s_client -connect example.com:443 -showcerts /dev/null \
| openssl x509 -teks -noout | grep -A 1 Reeks\nommer | tr -d:
Bron: opennet.ru