Let's Encrypt je neprofitni autoritet za izdavanje certifikata koji kontrolira zajednica i pruža besplatne certifikate svima. o predstojećem opozivu mnogih ranije izdatih TLS/SSL certifikata. Od 116 miliona trenutno važećih Let's Encrypt sertifikata, nešto više od 3 miliona (2.6%) će biti opozvano, od čega je oko milion duplikata vezanih za istu domenu (greška je uglavnom uticala na sertifikate koji se vrlo često ažuriraju, tj. zašto ima toliko duplikata). Opoziv je zakazan za 1. mart (tačno vrijeme još nije utvrđeno, ali do opoziva neće doći do 4:3 MSK).
Potreba za opozivom je zbog otkrića 29. februara . Problem se javlja od 25. jula 2019. godine i utiče na sistem provjere CAA zapisa u DNS-u. CAA zapis (,Certificate Authorization) omogućava vlasniku domene da eksplicitno definira certifikacijsko tijelo preko kojeg se certifikati mogu generirati za određenu domenu. Ako CA nije naveden u CAA zapisima, mora blokirati izdavanje certifikata za dati domen i obavijestiti vlasnika domena o pokušajima kompromisa. U većini slučajeva, potvrda se traži odmah nakon prolaska CAA provjere, ali rezultat provjere se smatra validnim još 30 dana. Pravila također zahtijevaju da se ponovna provjera izvrši najkasnije 8 sati prije izdavanja novog certifikata (tj., ako je prošlo 8 sati od posljednje inspekcije pri traženju novog certifikata, potrebna je ponovna verifikacija).
Greška se javlja ako zahtjev za certifikatom pokriva nekoliko imena domena odjednom, od kojih svako zahtijeva provjeru CAA zapisa. Suština greške je u tome što je u trenutku ponovne provjere, umjesto validacije svih domena, ponovo provjeren samo jedan domen sa liste (ako je zahtjev imao N domena, umjesto N različitih provjera, jedan domen je provjeren N puta). Za preostale domene nije izvršena druga provjera, već su pri donošenju odluke korišteni podaci iz prve provjere (tj. korišteni su podaci stari do 30 dana). Kao rezultat toga, u roku od 30 dana nakon prve verifikacije, Let's Encrypt bi mogao izdati certifikat čak i ako je vrijednost CAA zapisa promijenjena i Let's Encrypt je uklonjen sa liste prihvatljivih CA.
Pogođeni korisnici su obaviješteni putem e-pošte ako su kontakt podaci popunjeni prilikom prijema certifikata. Svoje certifikate možete provjeriti preuzimanjem serijski brojevi opozvanih certifikata ili korištenje (nalazi se na IP adresi, u Ruskoj Federaciji od strane Roskomnadzora). Serijski broj certifikata za domen od interesa možete saznati pomoću naredbe:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -tekst -noout | grep -A 1 Serijski\ Broj | tr -d :
izvor: opennet.ru