Let's Encrypt on kogukonna kontrollitav mittetulunduslik sertifitseerimisasutus, mis pakub kõigile tasuta sertifikaate. paljude varem välja antud TLS/SSL-sertifikaatide peatse tühistamise kohta. Praegu kehtivast 116 miljonist Let's Encrypti sertifikaadist tühistatakse veidi rohkem kui 3 miljonit (2.6%), millest ligikaudu 1 miljon on sama domeeniga seotud duplikaadid (viga puudutas peamiselt sertifikaate, mida uuendatakse väga sageli, mis on miks on nii palju duplikaate). Tagasikutsumine on kavandatud 4. märtsiks (täpset aega pole veel kindlaks määratud, kuid tagasikutsumine toimub alles kell 3 hommikul MSK).
Tagasikutsumise vajadus on tingitud 29. veebruari avastusest . Probleem on ilmnenud alates 25. juulist 2019 ja mõjutab CAA kirjete kontrollimise süsteemi DNS-is. CAA rekord (Sertifikaadi autoriseerimine) võimaldab domeeni omanikul selgelt määratleda sertifitseerimisasutuse, mille kaudu saab teatud domeeni jaoks sertifikaate genereerida. Kui CA ei ole CAA kirjetes loetletud, peab ta blokeerima antud domeeni sertifikaatide väljastamise ja teavitama domeeni omanikku kompromissikatsetest. Enamasti küsitakse sertifikaati kohe pärast CAA kontrolli läbimist, kuid kontrolli tulemus loetakse kehtivaks veel 30 päeva. Samuti nõuavad eeskirjad kordustõendamise läbiviimist hiljemalt 8 tundi enne uue sertifikaadi väljastamist (s.t. kui uue sertifikaadi taotlemisel on viimasest kontrollimisest möödunud 8 tundi, on kordustõendamine vajalik).
Viga ilmneb, kui sertifikaaditaotlus hõlmab korraga mitut domeeninime, millest igaüks nõuab CAA kirjete kontrolli. Vea olemus seisneb selles, et korduva kontrollimise ajal kontrolliti kõigi domeenide valideerimise asemel uuesti ainult ühte domeeni nimekirjast (kui päringul oli N domeeni, siis N erineva kontrolli asemel kontrolliti ühte domeeni N korda). Ülejäänud domeenide puhul teist kontrolli ei tehtud ja otsuse tegemisel kasutati esimese kontrolli andmeid (st kasutati kuni 30 päeva vanuseid andmeid). Selle tulemusena võib Let's Encrypt 30 päeva jooksul pärast esimest kontrollimist väljastada sertifikaadi isegi siis, kui CAA kirje väärtust muudeti ja Let's Encrypt eemaldati aktsepteeritavate CA-de loendist.
Mõjutatud kasutajaid teavitatakse e-posti teel, kui sertifikaadi saamisel täideti kontaktandmed. Saate oma sertifikaate kontrollida allalaadides tühistatud sertifikaatide seerianumbrid või kasutamine (asub IP-aadressil, Vene Föderatsioonis Roskomnadzori poolt). Huvipakkuva domeeni sertifikaadi seerianumbri saate teada käsuga:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Seerianumber | tr-d:
Allikas: opennet.ru