Let's Encrypt ist eine von der Community kontrollierte, gemeinnützige Zertifizierungsstelle, die jedem kostenlose Zertifikate zur Verfügung stellt. über den bevorstehenden Widerruf vieler bereits ausgestellter TLS/SSL-Zertifikate. Von den 116 Millionen derzeit gültigen Let's Encrypt-Zertifikaten werden etwas mehr als 3 Millionen (2.6 %) widerrufen, davon sind etwa 1 Million Duplikate, die an dieselbe Domain gebunden sind (der Fehler betraf hauptsächlich Zertifikate, die sehr häufig aktualisiert werden). warum es so viele Duplikate gibt). Der Rückruf ist für den 4. März geplant (der genaue Zeitpunkt steht noch nicht fest, der Rückruf wird jedoch erst um 3 Uhr morgens MSK erfolgen).
Die Notwendigkeit eines Rückrufs ist auf die Entdeckung am 29. Februar zurückzuführen . Das Problem tritt seit dem 25. Juli 2019 auf und betrifft das System zur Prüfung von CAA-Einträgen im DNS. CAA-Datensatz (,Certificate Authority Authorization) ermöglicht es dem Domänenbesitzer, explizit eine Zertifizierungsstelle zu definieren, über die Zertifikate für eine bestimmte Domäne generiert werden können. Wenn eine CA nicht in den CAA-Datensätzen aufgeführt ist, muss sie die Ausstellung von Zertifikaten für eine bestimmte Domain blockieren und den Domaininhaber über Kompromittierungsversuche informieren. In den meisten Fällen wird das Zertifikat unmittelbar nach bestandener CAA-Prüfung angefordert, das Ergebnis der Prüfung gilt jedoch noch weitere 30 Tage als gültig. Die Regeln verlangen außerdem, dass die erneute Überprüfung spätestens 8 Stunden vor der Ausstellung eines neuen Zertifikats durchgeführt wird (d. h. wenn seit der letzten Inspektion bei der Beantragung eines neuen Zertifikats 8 Stunden vergangen sind, ist eine erneute Überprüfung erforderlich).
Der Fehler tritt auf, wenn die Zertifikatsanforderung mehrere Domänennamen gleichzeitig umfasst, die jeweils eine CAA-Eintragsprüfung erfordern. Der Kern des Fehlers besteht darin, dass zum Zeitpunkt der erneuten Überprüfung nicht alle Domänen überprüft wurden, sondern nur eine Domäne aus der Liste erneut überprüft wurde (wenn die Anfrage N Domänen hatte, wurde anstelle von N verschiedenen Überprüfungen eine Domäne N überprüft mal). Bei den übrigen Domains wurde auf eine zweite Prüfung verzichtet und bei der Entscheidungsfindung auf die Daten der ersten Prüfung zurückgegriffen (d. h. es wurden Daten herangezogen, die bis zu 30 Tage alt waren). Dadurch konnte Let's Encrypt innerhalb von 30 Tagen nach der ersten Verifizierung ein Zertifikat ausstellen, selbst wenn der Wert des CAA-Eintrags geändert wurde und Let's Encrypt aus der Liste der akzeptablen CAs entfernt wurde.
Betroffene Benutzer werden per E-Mail benachrichtigt, wenn beim Erhalt des Zertifikats Kontaktinformationen angegeben wurden. Sie können Ihre Zertifikate per Download überprüfen Seriennummern widerrufener Zertifikate oder deren Verwendung (befindet sich auf der IP-Adresse, in der Russischen Föderation durch Roskomnadzor). Mit dem folgenden Befehl können Sie die Seriennummer des Zertifikats für die gewünschte Domäne ermitteln:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Seriennummer | tr -d :
Source: opennet.ru