Групово оттегляне на сертификати Let's Encrypt

Let's Encrypt е контролиран от общността сертифициращ орган с нестопанска цел, който предоставя безплатни сертификати на всички. предупреди относно предстоящото оттегляне на много издадени преди това TLS/SSL сертификати. От 116 милиона в момента валидни Let's Encrypt сертификати, малко повече от 3 милиона (2.6%) ще бъдат отменени, от които приблизително 1 милион са дубликати, свързани със същия домейн (грешката засяга главно сертификати, които се актуализират много често, което е защо има толкова много дубликати). Отзоваването е насрочено за 4 март (точният час все още не е определен, но отзоваването няма да се случи до 3 часа сутринта MSK).

Необходимостта от изтегляне се дължи на откритието на 29 февруари грешка. Проблемът се появява от 25 юли 2019 г. и засяга системата за проверка на CAA записи в DNS. CAA запис (RFC 6844,Certificate Authority Authorization) позволява на собственика на домейн изрично да дефинира сертифициращ орган, чрез който могат да се генерират сертификати за определен домейн. Ако CA не е посочен в CAA записите, той трябва да блокира издаването на сертификати за даден домейн и да информира собственика на домейна за опити за компрометиране. В повечето случаи сертификатът се изисква веднага след преминаване на проверката на CAA, но резултатът от проверката се счита за валиден още 30 дни. Правилата също така изискват повторна проверка да се извърши не по-късно от 8 часа преди издаването на ново удостоверение (т.е. ако са изминали 8 часа от последната проверка при искане на ново удостоверение е необходима повторна проверка).

Грешката възниква, ако заявката за сертификат обхваща няколко имена на домейни наведнъж, всяко от които изисква проверка на CAA запис. Същността на грешката е, че по време на повторната проверка, вместо валидиране на всички домейни, само един домейн от списъка беше повторно проверен (ако заявката имаше N домейна, вместо N различни проверки, беше проверен един домейн N пъти). За останалите домейни не е извършена втора проверка и при вземане на решение са използвани данните от първата проверка (т.е. използвани са данни с възраст до 30 дни). В резултат на това, в рамките на 30 дни след първата проверка, Let's Encrypt може да издаде сертификат, дори ако стойността на CAA записа е променена и Let's Encrypt е премахнат от списъка с приемливи CA.

Засегнатите потребители се уведомяват по имейл, ако информацията за контакт е била попълнена при получаване на сертификата. Можете да проверите вашите сертификати, като изтеглите списък серийни номера на прекратени сертификати или използване онлайн услуга (разположен на IP адреса, блокиран в Руската федерация от Роскомнадзор). Можете да разберете серийния номер на сертификата за домейна, който ви интересува, като използвате командата:

openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -текст -noout | grep -A 1 Сериен\ номер | tr -d:

Източник: opennet.ru