Let's Encrypt és una autoritat de certificació sense ànim de lucre controlada per la comunitat que ofereix certificats gratuïts a tothom. sobre la propera revocació de molts certificats TLS/SSL emesos anteriorment. Dels 116 milions de certificats Let's Encrypt vigents actualment, se'n revocaran una mica més de 3 milions (2.6%), dels quals aproximadament 1 milió són duplicats vinculats al mateix domini (l'error afectava principalment a certificats que s'actualitzen amb molta freqüència, que és per què hi ha tants duplicats). La retirada està prevista per al 4 de març (encara no s'ha determinat l'hora exacta, però la retirada no es produirà fins a les 3 a.m. MSK).
La necessitat d'una retirada es deu al descobriment el 29 de febrer . El problema apareix des del 25 de juliol de 2019 i afecta el sistema per comprovar els registres CAA al DNS. Registre CAA (,Autorització de l'autoritat de certificació) permet al propietari del domini definir explícitament una autoritat de certificació mitjançant la qual es poden generar certificats per a un domini específic. Si una CA no figura als registres de la CAA, ha de bloquejar l'emissió de certificats per a un determinat domini i ha d'informar el propietari del domini sobre els intents de comprometre's. En la majoria dels casos, el certificat es demana immediatament després de superar la verificació CAA, però el resultat de la verificació es considera vàlid durant 30 dies més. Les regles també exigeixen que la verificació de nou es realitzi com a màxim 8 hores abans de l'emissió d'un nou certificat (és a dir, si han passat 8 hores des de l'última verificació en sol·licitar un nou certificat, cal una nova verificació).
L'error es produeix si la sol·licitud de certificat cobreix diversos noms de domini alhora, cadascun dels quals requereix una comprovació del registre CAA. L'essència de l'error és que en el moment de tornar a comprovar, en lloc de validar tots els dominis, només es va tornar a comprovar un domini de la llista (si la sol·licitud tenia N dominis, en comptes de N comprovacions diferents, es va comprovar un domini N vegades). Per a la resta de dominis, no es va realitzar una segona comprovació i es van utilitzar les dades de la primera comprovació per prendre una decisió (és a dir, es van utilitzar dades que tenien fins a 30 dies d'antiguitat). Com a resultat, dins dels 30 dies posteriors a la primera verificació, Let's Encrypt podria emetre un certificat encara que el valor del registre CAA s'hagi canviat i Let's Encrypt s'ha eliminat de la llista de CA acceptables.
Els usuaris afectats reben una notificació per correu electrònic si la informació de contacte s'ha omplert en rebre el certificat. Podeu comprovar els vostres certificats baixant-los números de sèrie dels certificats revocats o utilitzant (situat a l'adreça IP, a la Federació Russa per Roskomnadzor). Podeu esbrinar el número de sèrie del certificat per al domini d'interès mitjançant l'ordre:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Número de sèrie\ | tr -d:
Font: opennet.ru