Некамерцыйны які сведчыць цэнтр Let's Encrypt, кантраляваны супольнасцю і які прадстаўляе сертыфікаты бязвыплатна ўсім жадаючым, аб маючым адбыцца водгуку многіх раней выдадзеных TLS/SSL сертыфікатаў. З 116 дзеючых сертыфікатаў Let's Encrypt будзе адклікана крыху больш за 3 млн (2.6%), з якіх прыкладна 1 млн з'яўляюцца дублікатамі, прывязанымі да аднаго дамену (памылка ў асноўным закранула вельмі часта абнаўляюцца сертыфікаты, таму так шмат дублікатаў). Водгук запланаваны на 4 сакавіка (дакладны час пакуль не вызначана, але водгук будзе зроблены не раней за 3 ночы MSK).
Неабходнасць водгуку абумоўлена выяўленай 29 лютага . Праблема праяўляецца з 25 ліпеня 2019 года і закранае сістэму праверкі CAA-запісаў у DNS. Запіс CAA (, Certificate Authority Authorization) дазваляе ўладальніку дамена відавочна вызначыць які сведчыць цэнтр, праз які можна генераваць сертыфікаты для паказанага дамена. Калі які сведчыць цэнтр не пералічаны ў запісах CAA, то ён абавязаны блакаваць выдачу сертыфікатаў для дадзенага дамена і інфармаваць уладальніка дамена аб спробах кампраметацыі. У большасці выпадкаў сертыфікат запытваецца адразу пасля праходжання праверкі CAA, але вынік праверкі лічыцца сапраўдным яшчэ 30 дзён. Правілы таксама прадпісваюць выконваць паўторную праверку не пазней як за 8 гадзін да выдачы новага сертыфіката (г.зн. калі пры запыце новага сертыфіката з моманту мінулай праверкі прайшло 8 гадзін, патрабуецца паўторная праверка).
Памылка праяўляецца, калі запыт сертыфіката ахоплівае адразу некалькі даменных імёнаў, для кожнага з якіх патрабуецца праверка запісу CAA. Сутнасць памылкі ў тым, што ў момант паўторнай праверкі замест валідацыі ўсіх даменаў, ажыццяўлялася паўторная праверка толькі аднаго дамена са спісу (калі ў запыце было N даменаў, замест N розных праверак, адзін дамен правяраўся N раз). Для астатніх даменаў паўторная праверка не выконвалася і пры прыняцці рашэння выкарыстоўваліся дадзеныя першай праверкі (г.зн. выкарыстоўваліся дадзеныя, даўнасцю да 30 дзён). Як следства, на працягу 30 дзён пасля першай праверкі Let's Encrypt мог выдаць сертыфікат, нават калі значэнне CAA-запісы было зменена і Let's Encrypt быў прыбраны са спісу дапушчальных якія сведчаць цэнтраў.
Схільным праблеме карыстальнікам адпраўлена апавяшчэнне па email, калі пры атрыманні сертыфіката былі запоўненыя кантактныя дадзеныя. Праверыць свае сертыфікаты можна загрузіўшы серыйных нумароў адкліканых сертыфікатаў або скарыстаўшыся (размешчаны на IP-адрасе, у РФ Роскамнаглядам). Даведацца серыйны нумар сертыфіката для цікавага дамена можна пры дапамозе каманды:
openssl s_client -connect example.com:443 -showcerts /dev/null \
| openssl x509 -text -noout | grep -A 1 Serial \ Number | tr -d :
Крыніца: opennet.ru