Mae Let's Encrypt yn awdurdod tystysgrif dielw a reolir gan y gymuned sy'n darparu tystysgrifau am ddim i bawb. am ddirymu llawer o dystysgrifau TLS/SSL a gyhoeddwyd yn flaenorol. O'r 116 miliwn o dystysgrifau Let's Encrypt sy'n ddilys ar hyn o bryd, bydd ychydig yn fwy na 3 miliwn (2.6%) yn cael eu dirymu, ac mae tua 1 miliwn ohonynt yn ddyblygiadau sy'n gysylltiedig Γ’'r un parth (mae'r gwall yn effeithio'n bennaf ar dystysgrifau sy'n cael eu diweddaru'n aml iawn, sef pam mae cymaint o ddyblygiadau). Mae'r adalw wedi'i drefnu ar gyfer Mawrth 4 (nid yw'r union amser wedi'i bennu eto, ond ni fydd y galw'n Γ΄l yn digwydd tan 3 a.m. MSK).
Mae'r angen am adalw oherwydd y darganfyddiad ar Chwefror 29 . Mae'r broblem wedi bod yn ymddangos ers Gorffennaf 25, 2019 ac mae'n effeithio ar y system ar gyfer gwirio cofnodion CAA yn DNS. Cofnod CAA (, Awdurdodi Awdurdod Tystysgrif) yn caniatΓ‘u i berchennog y parth ddiffinio'n benodol awdurdod ardystio y gellir cynhyrchu tystysgrifau ar gyfer parth penodol drwyddo. Os nad yw CA wedi'i restru yng nghofnodion CAA, rhaid iddo rwystro cyhoeddi tystysgrifau ar gyfer parth penodol a hysbysu perchennog y parth am ymdrechion i gyfaddawdu. Yn y rhan fwyaf o achosion, gofynnir am y dystysgrif yn syth ar Γ΄l pasio'r gwiriad CAA, ond ystyrir bod canlyniad y gwiriad yn ddilys am 30 diwrnod arall. Mae'r rheolau hefyd yn ei gwneud yn ofynnol i ail-ddilysu gael ei wneud dim hwyrach nag 8 awr cyn cyhoeddi tystysgrif newydd (h.y., os yw 8 awr wedi mynd heibio ers yr arolygiad diwethaf wrth ofyn am dystysgrif newydd, mae angen ail-ddilysiad).
Mae'r gwall yn digwydd os yw'r cais am dystysgrif yn cwmpasu sawl enw parth ar unwaith, ac mae angen gwiriad cofnod CAA ar bob un ohonynt. Hanfod y gwall yw, ar adeg ailwirio, yn lle dilysu pob parth, dim ond un parth o'r rhestr a gafodd ei ailwirio (os oedd gan y cais N parthau, yn lle N gwiriad gwahanol, cafodd un parth ei wirio N amseroedd). Ar gyfer y parthau sy'n weddill, ni chynhaliwyd ail wiriad a defnyddiwyd y data o'r gwiriad cyntaf wrth wneud penderfyniad (h.y., defnyddiwyd data a oedd hyd at 30 diwrnod oed). O ganlyniad, o fewn 30 diwrnod ar Γ΄l y dilysiad cyntaf, gallai Let's Encrypt gyhoeddi tystysgrif, hyd yn oed pe bai gwerth y cofnod CAA yn cael ei newid a bod Let's Encrypt yn cael ei dynnu oddi ar y rhestr o awdurdodau ardystio derbyniol.
Mae defnyddwyr yr effeithir arnynt yn cael eu hysbysu trwy e-bost os cafodd gwybodaeth gyswllt ei llenwi wrth dderbyn y dystysgrif. Gallwch wirio'ch tystysgrifau trwy lawrlwytho rhifau cyfresol o dystysgrifau wedi'u dirymu neu ddefnyddio (wedi'i leoli ar y cyfeiriad IP, yn Ffederasiwn Rwsia gan Roskomnadzor). Gallwch ddarganfod rhif cyfresol y dystysgrif ar gyfer y parth o ddiddordeb gan ddefnyddio'r gorchymyn:
openssl s_client -connect example.com:443 -showcerts /dev/null \
| openssl x509 -text -noout | grep -A 1 Cyfres\ Rhif | tr -d :
Ffynhonnell: opennet.ru