Let's Encrypt, un CA non cumerciale, cuntrullatu da a cumunità chì furnisce certificati gratuitamente à qualcunu, circa l'imminente revocazione di parechji certificati TLS/SSL emessi prima. Di i 116 milioni di certificati Let's Encrypt attuali, pocu più di 3 milioni (2.6%) seranu revocati, di i quali circa 1 milione sò duplicati ligati à u stessu duminiu (l'errore hà affettatu principalmente certificati aghjurnati assai freti, per quessa chì ci sò tanti duplicati). A ricurdazione hè prevista per u 4 di marzu (l'ora esatta ùn hè ancu stata determinata, ma a ricurdata serà fatta micca prima di 3 am MSK).
A necessità di un richiamo hè dovutu à l'identificatu u 29 di ferraghju . U prublema si manifesta da u 25 di lugliu di u 2019 è affetta u sistema per verificà i registri CAA in DNS. record CAA (, Autorizazione di l'Autorità di Certificazione) permette à u pruprietariu di u duminiu di definisce esplicitamente una autorità di certificazione per mezu di quale i certificati ponu esse generati per u duminiu specificatu. Se l'autorità di certificazione ùn hè micca listata in i registri CAA, allora deve bluccà l'emissione di certificati per questu duminiu è informà u pruprietariu di u duminiu nantu à i tentativi di cumprumissu. In a maiò parte di i casi, u certificatu hè dumandatu immediatamente dopu avè passatu a verificazione CAA, ma u risultatu di a verificazione hè cunsideratu validu per altri 30 ghjorni. E regule richiedenu ancu a revalidazione più tardi 8 ore prima di emissione di un novu certificatu (vale à dì, se 8 ore sò passate da l'ultima validazione quandu un novu certificatu hè statu dumandatu, una revalidazione hè necessaria).
L'errore si trova se a dumanda di certificatu copre parechji nomi di duminiu à una volta, ognuna di e quali richiede a verificazione di u record CAA. L'essenza di l'errore hè chì à u mumentu di a verificazione, invece di cunvalidà tutti i duminii, solu un duminiu da a lista hè stata verificata di novu (s'ellu ci era N duminii in a dumanda, invece di N cuntrolli differenti, un duminiu era verificatu N volte). Per altri domini, a seconda verificazione ùn hè stata realizata è a decisione hè stata fatta cù e dati da u primu cuntrollu (vale à dì, dati finu à 30 ghjorni sò stati utilizati). In u risultatu, in 30 ghjorni da a prima verificazione, Let's Encrypt puderia emette un certificatu ancu se u valore di u record CAA hè statu cambiatu è Let's Encrypt hè statu eliminatu da a lista di CA validi.
L'utilizatori affettati sò stati mandati una notificazione per e-mail se l'infurmazione di cuntattu hè stata cumpleta quandu anu ricevutu u certificatu. Pudete cuntrollà i vostri certificati scaricando numeri di serie di certificati revocati o usendu (situatu nantu à l'indirizzu IP, in a Federazione Russa da Roskomnadzor). Pudete truvà u numeru di seriale di u certificatu per u duminiu di interessu cù u cumandimu:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Serial\Number | tr -d :
Source: opennet.ru