Let's Encrypt er en samfundskontrolleret non-profit certifikatmyndighed, der leverer gratis certifikater til alle. om den kommende tilbagekaldelse af mange tidligere udstedte TLS/SSL-certifikater. Af de 116 millioner aktuelt gyldige Let's Encrypt-certifikater vil lidt mere end 3 millioner (2.6%) blive tilbagekaldt, hvoraf cirka 1 million er dubletter knyttet til det samme domæne (fejlen ramte hovedsageligt certifikater, der opdateres meget hyppigt, hvilket er hvorfor der er så mange dubletter). Tilbagekaldelsen er planlagt til den 4. marts (det nøjagtige tidspunkt er endnu ikke fastlagt, men tilbagekaldelsen sker først kl. 3 MSK).
Behovet for en tilbagekaldelse skyldes fundet den 29. februar . Problemet har opstået siden 25. juli 2019 og påvirker systemet til kontrol af CAA-poster i DNS. CAA Record (,Certificate Authority Authorization) giver domæneejeren mulighed for eksplicit at definere en certificeringsmyndighed, hvorigennem certifikater kan genereres for et specificeret domæne. Hvis en CA ikke er opført i CAA-registrene, skal den blokere for udstedelsen af certifikater for et givet domæne og informere domæneejeren om forsøg på at gå på kompromis. I de fleste tilfælde rekvireres certifikatet umiddelbart efter bestået CAA-kontrollen, men resultatet af kontrollen anses for gyldig i yderligere 30 dage. Reglerne kræver også, at fornyet verifikation skal udføres senest 8 timer før udstedelse af et nyt certifikat (dvs. hvis der er gået 8 timer siden sidste kontrol, når der anmodes om et nyt certifikat, kræves en fornyet verifikation).
Fejlen opstår, hvis certifikatanmodningen dækker flere domænenavne på én gang, som hver især kræver en CAA-postkontrol. Essensen af fejlen er, at på tidspunktet for genkontrol, i stedet for at validere alle domæner, blev kun ét domæne fra listen kontrolleret igen (hvis anmodningen havde N domæner, i stedet for N forskellige kontroller, blev ét domæne kontrolleret N gange). For de resterende domæner blev der ikke udført en anden kontrol, og dataene fra den første kontrol blev brugt, når der blev truffet en beslutning (dvs. data, der var op til 30 dage gamle, blev brugt). Som et resultat heraf kunne Let's Encrypt inden for 30 dage efter den første verifikation udstede et certifikat, selvom værdien af CAA-posten blev ændret, og Let's Encrypt blev fjernet fra listen over acceptable CA'er.
Berørte brugere får besked via e-mail, hvis kontaktoplysninger blev udfyldt ved modtagelse af certifikatet. Du kan tjekke dine certifikater ved at downloade serienumre på tilbagekaldte certifikater eller brug (placeret på IP-adressen, i Den Russiske Føderation af Roskomnadzor). Du kan finde ud af serienummeret på certifikatet for domænet af interesse ved hjælp af kommandoen:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -tekst -noout | grep -A 1 Serienummer | tr -d:
Kilde: opennet.ru