Let's Encrypt هي هيئة شهادات غير ربحية يتحكم فيها المجتمع وتوفر شهادات مجانية للجميع. حول الإلغاء القادم للعديد من شهادات TLS/SSL الصادرة مسبقًا. من بين 116 مليون شهادة Let's Encrypt الصالحة حاليًا، سيتم إبطال ما يزيد قليلاً عن 3 ملايين (2.6%)، منها ما يقرب من مليون نسخة مكررة مرتبطة بنفس المجال (يؤثر الخطأ بشكل أساسي على الشهادات التي يتم تحديثها بشكل متكرر للغاية، وهو ما لماذا يوجد الكثير من التكرارات). من المقرر إجراء الاستدعاء في 1 مارس (لم يتم تحديد الوقت المحدد بعد، ولكن لن يتم الاستدعاء حتى الساعة 4 صباحًا بتوقيت موسكو).
ترجع الحاجة إلى الاستدعاء إلى الاكتشاف الذي تم في 29 فبراير . ظهرت المشكلة منذ 25 يوليو 2019 وتؤثر على نظام التحقق من سجلات CAA في DNS. سجل CAA (، ترخيص المرجع المصدق) يسمح لمالك المجال بتحديد مرجع مصدق بشكل صريح يمكن من خلاله إنشاء الشهادات لمجال محدد. إذا لم يتم إدراج CA في سجلات CAA، فيجب عليه منع إصدار الشهادات لنطاق معين وإبلاغ مالك النطاق بمحاولات التسوية. في معظم الحالات، يتم طلب الشهادة مباشرة بعد اجتياز فحص CAA، لكن نتيجة الفحص تعتبر صالحة لمدة 30 يومًا أخرى. تتطلب القواعد أيضًا إجراء إعادة التحقق في موعد لا يتجاوز 8 ساعات قبل إصدار شهادة جديدة (أي، إذا مرت 8 ساعات منذ آخر فحص عند طلب شهادة جديدة، يلزم إعادة التحقق).
يحدث الخطأ إذا كان طلب الشهادة يغطي عدة أسماء نطاقات في وقت واحد، كل منها يتطلب فحص سجل CAA. جوهر الخطأ هو أنه في وقت إعادة الفحص، بدلاً من التحقق من صحة جميع المجالات، تمت إعادة التحقق من مجال واحد فقط من القائمة (إذا كان الطلب يحتوي على N من المجالات، بدلاً من N من عمليات التحقق المختلفة، تم فحص مجال واحد N مرات). بالنسبة للنطاقات المتبقية، لم يتم إجراء فحص ثانٍ وتم استخدام البيانات من الفحص الأول عند اتخاذ القرار (أي تم استخدام البيانات التي كان عمرها يصل إلى 30 يومًا). ونتيجة لذلك، في غضون 30 يومًا بعد التحقق الأول، يمكن لشركة Let's Encrypt إصدار شهادة حتى إذا تم تغيير قيمة سجل CAA وتمت إزالة Let's Encrypt من قائمة المراجع المصدقة المقبولة.
يتم إخطار المستخدمين المتأثرين عبر البريد الإلكتروني إذا تم ملء معلومات الاتصال عند استلام الشهادة. يمكنك التحقق من شهاداتك عن طريق التنزيل الأرقام التسلسلية للشهادات الملغاة أو استخدامها (الموجود على عنوان IP، في الاتحاد الروسي بواسطة Roskomnadzor). يمكنك معرفة الرقم التسلسلي للشهادة للمجال محل الاهتمام باستخدام الأمر:
openssl s_client -connect example.com:443 -showcerts /ديف/خالية\
| يفتح x509 -نص -noout | grep -A 1 الرقم التسلسلي | آر -د :
المصدر: opennet.ru