Let's Encrypt es una autoridad de certificación sin fines de lucro controlada por la comunidad que proporciona certificados gratuitos a todos. sobre la próxima revocación de muchos certificados TLS/SSL emitidos anteriormente. De los 116 millones de certificados Let's Encrypt actualmente válidos, algo más de 3 millones (2.6%) serán revocados, de los cuales aproximadamente 1 millón son duplicados vinculados al mismo dominio (el error afectó principalmente a los certificados que se actualizan con mucha frecuencia, lo cual es por qué hay tantos duplicados). El retiro está programado para el 4 de marzo (aún no se ha determinado la hora exacta, pero el retiro no ocurrirá hasta las 3 a.m. MSK).
La necesidad de un retiro del mercado se debe al descubrimiento del 29 de febrero. . El problema lleva apareciendo desde el 25 de julio de 2019 y afecta al sistema de comprobación de registros CAA en DNS. Registro CAA (, Autorización de autoridad de certificación) permite al propietario del dominio definir explícitamente una autoridad de certificación a través de la cual se pueden generar certificados para un dominio específico. Si una CA no figura en los registros CAA, debe bloquear la emisión de certificados para un dominio determinado e informar al propietario del dominio sobre los intentos de comprometerlo. En la mayoría de los casos, el certificado se solicita inmediatamente después de pasar la verificación de la CAA, pero el resultado de la verificación se considera válido por otros 30 días. Las reglas también requieren que se realice una nueva verificación a más tardar 8 horas antes de la emisión de un nuevo certificado (es decir, si han pasado 8 horas desde la última inspección al solicitar un nuevo certificado, se requiere una nueva verificación).
El error ocurre si la solicitud de certificado cubre varios nombres de dominio a la vez, cada uno de los cuales requiere una verificación de registro CAA. La esencia del error es que al momento de volver a verificar, en lugar de validar todos los dominios, solo se volvió a verificar un dominio de la lista (si la solicitud tenía N dominios, en lugar de N verificaciones diferentes, se verificó un dominio N veces). Para los dominios restantes, no se realizó una segunda verificación y se utilizaron los datos de la primera verificación al tomar una decisión (es decir, se utilizaron datos que tenían hasta 30 días de antigüedad). Como resultado, dentro de los 30 días posteriores a la primera verificación, Let's Encrypt podría emitir un certificado incluso si se cambiara el valor del registro CAA y se eliminara Let's Encrypt de la lista de CA aceptables.
Los usuarios afectados reciben una notificación por correo electrónico si se completó la información de contacto al recibir el certificado. Puedes consultar tus certificados descargando números de serie de certificados revocados o utilizando (ubicado en la dirección IP, en la Federación Rusa por Roskomnadzor). Puede averiguar el número de serie del certificado para el dominio de interés utilizando el comando:
openssl s_client -connect ejemplo.com:443 -showcerts /dev/nulo\
| openssl x509 -text -noout | grep -A 1 Número de serie\ | tr-d:
Fuente: opennet.ru