Το Let's Encrypt είναι μια μη κερδοσκοπική αρχή πιστοποιητικών ελεγχόμενη από την κοινότητα που παρέχει δωρεάν πιστοποιητικά σε όλους. σχετικά με την επικείμενη ανάκληση πολλών πιστοποιητικών TLS/SSL που έχουν εκδοθεί στο παρελθόν. Από τα 116 εκατομμύρια επί του παρόντος έγκυρα πιστοποιητικά Let's Encrypt, λίγο περισσότερα από 3 εκατομμύρια (2.6%) θα ανακληθούν, εκ των οποίων περίπου 1 εκατομμύριο είναι διπλότυπα συνδεδεμένα στον ίδιο τομέα (το σφάλμα επηρέασε κυρίως τα πιστοποιητικά που ενημερώνονται πολύ συχνά, το οποίο είναι γιατί υπάρχουν τόσα πολλά αντίγραφα). Η ανάκληση έχει προγραμματιστεί για τις 4 Μαρτίου (η ακριβής ώρα δεν έχει ακόμη καθοριστεί, αλλά η ανάκληση δεν θα γίνει μέχρι τις 3 τα ξημερώματα MSK).
Η ανάγκη για ανάκληση οφείλεται στην ανακάλυψη στις 29 Φεβρουαρίου . Το πρόβλημα εμφανίζεται από τις 25 Ιουλίου 2019 και επηρεάζει το σύστημα ελέγχου των εγγραφών CAA στο DNS. Αρχείο CAA (,Certificate Authority Authority) επιτρέπει στον κάτοχο τομέα να ορίσει ρητά μια αρχή πιστοποίησης μέσω της οποίας μπορούν να δημιουργηθούν πιστοποιητικά για έναν καθορισμένο τομέα. Εάν μια ΑΠ δεν αναφέρεται στις εγγραφές της CAA, πρέπει να αποκλείσει την έκδοση πιστοποιητικών για έναν δεδομένο τομέα και να ενημερώσει τον κάτοχο του τομέα σχετικά με προσπάθειες παραβίασης. Στις περισσότερες περιπτώσεις, το πιστοποιητικό ζητείται αμέσως μετά την επιτυχία του ελέγχου ΥΠΑ, αλλά το αποτέλεσμα του ελέγχου θεωρείται έγκυρο για άλλες 30 ημέρες. Οι κανόνες απαιτούν επίσης να πραγματοποιείται εκ νέου επαλήθευση το αργότερο 8 ώρες πριν από την έκδοση νέου πιστοποιητικού (δηλαδή, εάν έχουν περάσει 8 ώρες από την τελευταία επιθεώρηση όταν ζητείται νέο πιστοποιητικό, απαιτείται εκ νέου επαλήθευση).
Το σφάλμα παρουσιάζεται εάν το αίτημα πιστοποιητικού καλύπτει πολλά ονόματα τομέα ταυτόχρονα, καθένα από τα οποία απαιτεί έλεγχο εγγραφής CAA. Η ουσία του σφάλματος είναι ότι κατά τον επανέλεγχο, αντί για επικύρωση όλων των τομέων, μόνο ένας τομέας από τη λίστα ελέγχθηκε ξανά (εάν το αίτημα είχε N τομείς, αντί για N διαφορετικούς ελέγχους, ένας τομέας ελέγχθηκε N φορές). Για τους υπόλοιπους τομείς, δεν πραγματοποιήθηκε δεύτερος έλεγχος και χρησιμοποιήθηκαν τα δεδομένα από τον πρώτο έλεγχο κατά τη λήψη απόφασης (δηλαδή χρησιμοποιήθηκαν δεδομένα ηλικίας έως και 30 ημερών). Ως αποτέλεσμα, εντός 30 ημερών μετά την πρώτη επαλήθευση, το Let's Encrypt θα μπορούσε να εκδώσει ένα πιστοποιητικό ακόμη και αν η τιμή της εγγραφής CAA είχε αλλάξει και το Let's Encrypt καταργήθηκε από τη λίστα των αποδεκτών CA.
Οι επηρεαζόμενοι χρήστες ειδοποιούνται μέσω email εάν συμπληρώθηκαν τα στοιχεία επικοινωνίας κατά τη λήψη του πιστοποιητικού. Μπορείτε να ελέγξετε τα πιστοποιητικά σας κάνοντας λήψη σειριακούς αριθμούς ανακληθέντων πιστοποιητικών ή χρήσης (βρίσκεται στη διεύθυνση IP, στη Ρωσική Ομοσπονδία από την Roskomnadzor). Μπορείτε να μάθετε τον σειριακό αριθμό του πιστοποιητικού για τον τομέα ενδιαφέροντος χρησιμοποιώντας την εντολή:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Σειριακός\ Αριθμός | tr -d :
Πηγή: opennet.ru