Let's Encrypt komunitateak kontrolatutako irabazi-asmorik gabeko ziurtagiri-autoritate bat da, eta guztientzako doako ziurtagiriak eskaintzen ditu. Aurretik jaulkitako TLS/SSL ziurtagiri askoren hurrengo baliogabetzeari buruz. Gaur egun indarrean dauden Let's Encrypt ziurtagirietatik 116 milioi (%3) baino apur bat baliogabetuko dira, eta horietatik gutxi gorabehera milioi bat domeinu berari lotuta dauden bikoiztuak dira (erroreak batez ere oso maiz eguneratzen diren ziurtagiriei eragiten die, hau da. zergatik dauden bikoiztu asko). Berreskuratzea martxoaren 2.6rako dago aurreikusita (ordu zehatza oraindik ez dago zehaztuta, baina gogorarazpena ez da egingo 1:4ak arte MSK).
Otsailaren 29an egindako aurkikuntzari zor zaio gogoraraztearen beharra . Arazoa 25ko uztailaren 2019az geroztik agertzen da eta DNSko CAA erregistroak egiaztatzeko sistemari eragiten dio. CAA erregistroa (,Certificate Authority Authorization) aukera ematen dio domeinuaren jabeari espresuki definitzeko ziurtagiri autoritate bat, zeinaren bidez ziurtagiriak sor daitezkeen domeinu jakin baterako. CAA erregistroetan ez badago zerrendatzen, domeinu jakin baterako ziurtagiriak igortzea blokeatu behar du eta domeinuaren jabeari arriskuan jartzeko saiakerei buruz jakinarazi behar du. Kasu gehienetan, ziurtagiria CAA egiaztapena gainditu eta berehala eskatzen da, baina egiaztapenaren emaitza beste 30 egunetarako baliozkotzat hartzen da. Arauek, gainera, berriro egiaztatzea ziurtagiri berri bat eman baino 8 ordu lehenago egin behar da (hau da, ziurtagiri berri bat eskatzeko azken ikuskapenetik 8 ordu igaro badira, berriro egiaztatzea behar da).
Errorea gertatzen da ziurtagiri-eskaerak hainbat domeinu-izen hartzen baditu aldi berean, eta horietako bakoitzak CAA erregistro-egiaztapena eskatzen du. Errorearen funtsa zera da: berriro egiaztatzeko unean, domeinu guztiak balioztatu beharrean, zerrendako domeinu bakarra berriro egiaztatu zen (eskaerak N domeinu bazituen, N egiaztapen ezberdinen ordez, domeinu bat egiaztatu zen N). aldiz). Gainerako domeinuetarako, ez zen bigarren egiaztapenik egin eta erabakia hartzeko lehen egiaztapenaren datuak erabili ziren (hau da, 30 egun arteko datuak erabili ziren). Ondorioz, lehen egiaztapenaren ondorengo 30 eguneko epean, Let's Encrypt-ek ziurtagiri bat eman lezake, nahiz eta CAA erregistroaren balioa aldatu eta Let's Encrypt CA onargarrien zerrendatik kendu.
Eragindako erabiltzaileei posta elektroniko bidez jakinarazten zaie ziurtagiria jasotzean harremanetarako informazioa bete bada. Zure ziurtagiriak deskargatu ditzakezu baliogabetutako ziurtagirien serie-zenbakiak edo erabiliz (IP helbidean dago, Errusiar Federazioan Roskomnadzor-ek). Intereseko domeinuaren ziurtagiriaren serie zenbakia aurki dezakezu komandoa erabiliz:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Serie\ Zenbakia | tr -d:
Iturria: opennet.ru