Let's Encrypt estas komunum-kontrolita neprofitcela atestila aŭtoritato, kiu provizas senpagajn atestilojn al ĉiuj. pri la venonta revoko de multaj antaŭe eldonitaj TLS/SSL-atestiloj. El la 116 milionoj nuntempe validaj Let's Encrypt atestiloj, iom pli ol 3 milionoj (2.6%) estos revokitaj, el kiuj proksimume 1 miliono estas duplikatoj ligitaj al la sama domajno (la eraro ĉefe tuŝis atestilojn kiuj estas ĝisdatigitaj tre ofte, kio estas kial estas tiom da duplikatoj). La revoko estas planita por la 4-a de marto (la preciza horo ankoraŭ ne estis difinita, sed la revoko ne okazos ĝis la 3-a a.m. MSK).
La bezono de revoko ŝuldiĝas al la malkovro la 29-an de februaro . La problemo aperas ekde la 25-a de julio 2019 kaj influas la sistemon por kontroli CAA-rekordojn en DNS. CAA-Rekordo (,Certificate Authority Authorization) permesas al la domajna posedanto eksplicite difini atestadaŭtoritaton per kiu atestiloj povas esti generitaj por precizigita domajno. Se CA ne estas listigita en la CAA-rekordoj, ĝi devas bloki la emision de atestiloj por antaŭfiksita domajno kaj informi la domajnan posedanton pri provoj kompromisi. Plejofte, la atestilo estas petita tuj post pasigado de la CAA-ĉeko, sed la rezulto de la ĉeko estas konsiderata valida por aliaj 30 tagoj. La reguloj ankaŭ postulas re-konfirmon esti farita ne pli malfrue ol 8 horoj antaŭ la emisio de nova atestilo (t.e., se 8 horoj pasis ekde la lasta inspektado dum petado de nova atestilo, re-konfirmo estas postulata).
La eraro okazas se la atestilpeto kovras plurajn domajnajn nomojn samtempe, ĉiu el kiuj postulas CAA-rekordan kontrolon. La esenco de la eraro estas, ke en la momento de rekontrolo, anstataŭ validigi ĉiujn domajnojn, nur unu domajno el la listo estis rekontrolita (se la peto havis N domajnojn, anstataŭ N malsamajn kontrolojn, unu domajno estis kontrolita N. fojojn). Por la ceteraj domajnoj, dua kontrolo ne estis farita kaj la datumoj de la unua kontrolo estis uzataj dum decido (t.e., datenoj kiuj estis ĝis 30 tagoj aĝaj estis uzitaj). Kiel rezulto, ene de 30 tagoj post la unua konfirmo, Let's Encrypt povus elsendi atestilon eĉ se la valoro de la CAA-rekordo estis ŝanĝita kaj Let's Encrypt estis forigita de la listo de akcepteblaj CAs.
Afektaj uzantoj estas sciigitaj retpoŝte se kontaktinformoj estis plenigitaj kiam ili ricevas la atestilon. Vi povas kontroli viajn atestojn per elŝuto seriaj numeroj de revokitaj atestiloj aŭ uzado (situanta sur la IP-adreso, en la Rusa Federacio de Roskomnadzor). Vi povas ekscii la serian numeron de la atestilo por la interesa domajno uzante la komandon:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Seria\ Nombro | tr -d :
fonto: opennet.ru