Let's Encrypt یک مرجع گواهی غیرانتفاعی تحت کنترل جامعه است که گواهینامه های رایگان را برای همه فراهم می کند. در مورد لغو آتی بسیاری از گواهینامه های TLS/SSL که قبلاً صادر شده بودند. از 116 میلیون گواهینامه معتبر Let's Encrypt که در حال حاضر معتبر است، کمی بیش از 3 میلیون (2.6٪) باطل خواهند شد، که تقریباً 1 میلیون آنها تکراری هستند که به همان دامنه مرتبط هستند (خطا عمدتاً بر گواهی هایی تأثیر می گذارد که اغلب به روز می شوند، که چرا موارد تکراری زیاد است). این فراخوان برای 4 مارس برنامه ریزی شده است (زمان دقیق هنوز مشخص نشده است، اما فراخوان تا ساعت 3 بامداد MSK انجام نخواهد شد).
نیاز به فراخوان به دلیل کشف در 29 فوریه است . این مشکل از 25 جولای 2019 ظاهر شده است و سیستم بررسی سوابق CAA در DNS را تحت تأثیر قرار می دهد. رکورد CAA (,Certificate Authority Authorization) به مالک دامنه اجازه می دهد تا به صراحت یک مرجع صدور گواهی را تعریف کند که از طریق آن می توان گواهی برای یک دامنه مشخص تولید کرد. اگر یک CA در سوابق CAA فهرست نشده باشد، باید صدور گواهی برای یک دامنه معین را مسدود کند و مالک دامنه را در مورد تلاش برای مصالحه مطلع کند. در بیشتر موارد، گواهی بلافاصله پس از گذراندن چک CAA درخواست می شود، اما نتیجه چک تا 30 روز دیگر معتبر تلقی می شود. قوانین همچنین مستلزم تأیید مجدد حداکثر 8 ساعت قبل از صدور گواهی جدید هستند (یعنی اگر 8 ساعت از آخرین بازرسی در هنگام درخواست گواهی جدید گذشته باشد، تأیید مجدد لازم است).
این خطا در صورتی رخ می دهد که درخواست گواهی چندین نام دامنه را به طور همزمان پوشش دهد، که هر یک نیاز به بررسی سابقه CAA دارد. اصل خطا این است که در زمان بررسی مجدد، به جای اعتبارسنجی همه دامنه ها، فقط یک دامنه از لیست دوباره بررسی شد (اگر درخواست دارای N دامنه بود، به جای N بررسی مختلف، یک دامنه N بررسی شد. بار). برای دامنههای باقیمانده، بررسی دوم انجام نشد و از دادههای بررسی اول هنگام تصمیمگیری استفاده شد (یعنی دادههایی که تا 30 روز قدمت داشتند استفاده شد). در نتیجه، طی 30 روز پس از اولین تأیید، Let's Encrypt می تواند گواهی صادر کند حتی اگر مقدار رکورد CAA تغییر کند و Let's Encrypt از لیست CA های قابل قبول حذف شود.
در صورتی که اطلاعات تماس هنگام دریافت گواهی تکمیل شده باشد، به کاربران آسیب دیده از طریق ایمیل اطلاع داده می شود. با دانلود می توانید گواهینامه های خود را بررسی کنید شماره سریال گواهی های باطل شده یا استفاده از (واقع در آدرس IP، در فدراسیون روسیه توسط Roskomnadzor). با استفاده از دستور می توانید شماره سریال گواهی را برای دامنه مورد نظر دریابید:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 سریال\ شماره | tr-d:
منبع: opennet.ru