Let's Encrypt je komunitou kontrolovaná nezisková certifikační autorita, která poskytuje bezplatné certifikáty všem. o nadcházejícím zrušení mnoha dříve vydaných certifikátů TLS/SSL. Ze 116 milionů aktuálně platných certifikátů Let's Encrypt bude zneplatněno o něco více než 3 miliony (2.6 %), z toho přibližně 1 milion jsou duplikáty vázané na stejnou doménu (chyba se týkala především certifikátů, které jsou velmi často aktualizovány, tj. proč existuje tolik duplikátů). Svolání je naplánováno na 4. března (přesný čas zatím nebyl stanoven, ale ke svolání dojde až ve 3:XNUMX MSK).
Potřeba odvolání je způsobena objevem 29. února . Problém se objevuje od 25. července 2019 a týká se systému kontroly CAA záznamů v DNS. Záznam CAA (,Autorizace certifikační autority) umožňuje vlastníkovi domény explicitně definovat certifikační autoritu, jejímž prostřednictvím lze generovat certifikáty pro určitou doménu. Pokud CA není uvedena v záznamech CAA, musí zablokovat vydávání certifikátů pro danou doménu a informovat vlastníka domény o pokusech o kompromitaci. Ve většině případů je certifikát požadován ihned po absolvování kontroly CAA, ale výsledek kontroly je považován za platný ještě 30 dní. Pravidla také požadují provést opětovné ověření nejpozději 8 hodin před vydáním nového certifikátu (tj. pokud od poslední kontroly při žádosti o nový certifikát uplynulo 8 hodin, je vyžadováno opětovné ověření).
K chybě dojde, pokud žádost o certifikát pokrývá několik názvů domén najednou, z nichž každý vyžaduje kontrolu záznamu CAA. Podstata chyby je v tom, že v době opětovné kontroly byla místo ověření všech domén překontrolována pouze jedna doména ze seznamu (pokud měl požadavek N domén, místo N různých kontrol byla zkontrolována jedna doména N časy). U zbývajících domén nebyla druhá kontrola provedena a při rozhodování byla použita data z první kontroly (tzn. byla použita data stará až 30 dní). Výsledkem je, že do 30 dnů po prvním ověření mohla Let's Encrypt vydat certifikát, i když byla změněna hodnota záznamu CAA a Let's Encrypt byla odstraněna ze seznamu přijatelných CA.
Dotčení uživatelé jsou upozorněni e-mailem, zda byly při obdržení certifikátu vyplněny kontaktní údaje. Své certifikáty můžete zkontrolovat stažením sériová čísla zneplatněných certifikátů nebo používání (nachází se na IP adrese, v Ruské federaci Roskomnadzorem). Sériové číslo certifikátu pro zájmovou doménu zjistíte pomocí příkazu:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Sériové\ Číslo | tr -d:
Zdroj: opennet.ru