Let's Encrypt hər kəsə pulsuz sertifikatlar təqdim edən icma tərəfindən idarə olunan qeyri-kommersiya sertifikat orqanıdır. bir çox əvvəllər verilmiş TLS/SSL sertifikatlarının qarşıdan gələn ləğvi haqqında. Hazırda qüvvədə olan 116 milyon Let's Encrypt sertifikatından 3 milyondan bir qədər çoxu (2.6%) ləğv ediləcək, onlardan təxminən 1 milyonu eyni domenlə əlaqəli dublikatlardır (xəta əsasən tez-tez yenilənən sertifikatlara təsir edirdi. niyə bu qədər çox dublikat var). Geri çağırma martın 4-nə planlaşdırılıb (dəqiq vaxt hələ müəyyən edilməyib, lakin geri çağırma MSK saat 3-ə qədər baş verməyəcək).
Geri çağırılma zərurəti fevralın 29-da baş verən kəşflə bağlıdır . Problem 25 iyul 2019-cu il tarixindən etibarən ortaya çıxır və DNS-də CAA qeydlərinin yoxlanılması sisteminə təsir göstərir. CAA qeydi (,Sertifikat Səlahiyyətliliyi) domen sahibinə müəyyən domen üçün sertifikatların yaradıla biləcəyi sertifikatlaşdırma orqanını açıq şəkildə müəyyən etməyə imkan verir. Əgər CA CAA qeydlərində qeyd edilməyibsə, o, müəyyən domen üçün sertifikatların verilməsini bloklamalı və domen sahibini güzəştə getmək cəhdləri barədə məlumatlandırmalıdır. Əksər hallarda sertifikat CAA yoxlamasından keçdikdən dərhal sonra tələb olunur, lakin yoxlamanın nəticəsi daha 30 gün etibarlı sayılır. Qaydalar həmçinin yeni sertifikatın verilməsinə ən geci 8 saat qalmış təkrar yoxlamanın aparılmasını tələb edir (yəni, yeni sertifikat tələb edilərkən sonuncu yoxlamadan 8 saat keçibsə, təkrar yoxlama tələb olunur).
Sertifikat sorğusu eyni anda bir neçə domen adını əhatə edərsə, xəta baş verir ki, onların hər biri CAA qeydinin yoxlanılmasını tələb edir. Xətanın mahiyyəti ondan ibarətdir ki, təkrar yoxlama zamanı bütün domenləri təsdiqləmək əvəzinə siyahıdan yalnız bir domen yenidən yoxlanılıb (əgər sorğuda N domen varsa, N fərqli yoxlama yerinə bir domen N yoxlanılıb. dəfə). Qalan domenlər üçün ikinci yoxlama aparılmadı və qərar qəbul edilərkən birinci yoxlamanın məlumatları istifadə edildi (yəni, 30 günə qədər olan məlumatlar istifadə edildi). Nəticədə, ilk yoxlamadan sonra 30 gün ərzində Let's Encrypt hətta CAA qeydinin dəyəri dəyişdirilsə və Let's Encrypt məqbul CA siyahısından çıxarılsa belə sertifikat verə bilər.
Sertifikat alarkən əlaqə məlumatları doldurulubsa, təsirə məruz qalan istifadəçilər e-poçt vasitəsilə məlumatlandırılır. Yükləyərək sertifikatlarınızı yoxlaya bilərsiniz ləğv edilmiş sertifikatların seriya nömrələri və ya istifadə (IP ünvanında yerləşir, Rusiya Federasiyasında Roskomnadzor tərəfindən). Maraqlanan domen üçün sertifikatın seriya nömrəsini əmrdən istifadə edərək öyrənə bilərsiniz:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Seriya \ Nömrə | tr -d :
Mənbə: opennet.ru