Let's Encrypt on yhteisön hallitsema voittoa tavoittelematon varmenneviranomainen, joka tarjoaa ilmaisia varmenteita kaikille. monien aiemmin myönnettyjen TLS/SSL-varmenteiden tulevasta kumoamisesta. Tällä hetkellä voimassa olevista 116 miljoonasta Let's Encrypt -varmenteesta reilut 3 miljoonaa (2.6 %) kumotaan, joista noin miljoona on samaan toimialueeseen sidottuja kaksoiskappaleita (virhe koski pääasiassa varmenteita, jotka päivitetään hyvin usein, mikä on miksi kaksoiskappaleita on niin paljon). Takaisinveto on ajoitettu 1. maaliskuuta (tarkkaa aikaa ei ole vielä päätetty, mutta takaisinveto tapahtuu vasta klo 4 MSK).
Palauttamisen tarve johtuu 29. helmikuuta tehdystä löydöstä . Ongelma on ilmennyt 25. heinäkuuta 2019 lähtien ja vaikuttaa DNS:n CAA-tietueiden tarkistusjärjestelmään. CAA Record (,Varmenteen myöntäjän valtuutus) sallii verkkotunnuksen omistajan määrittää nimenomaisesti varmentajan, jonka kautta varmenteita voidaan luoda määritetylle toimialueelle. Jos varmentajaa ei ole listattu CAA-tietueisiin, sen on estettävä varmenteiden myöntäminen tietylle toimialueelle ja ilmoitettava toimialueen omistajalle tietomurtoyrityksistä. Useimmissa tapauksissa todistusta pyydetään heti CAA-tarkastuksen läpäisyn jälkeen, mutta tarkastuksen tuloksen katsotaan olevan voimassa vielä 30 päivää. Säännöissä edellytetään myös, että uusintatarkastus on suoritettava viimeistään 8 tuntia ennen uuden varmenteen myöntämistä (eli jos edellisestä tarkastuksesta on kulunut 8 tuntia uutta varmennetta pyydettäessä, vaaditaan uusintatarkastus).
Virhe ilmenee, jos varmennepyyntö kattaa useita verkkotunnuksia kerralla, joista jokainen vaatii CAA-tietueen tarkistuksen. Virheen ydin on, että uudelleentarkistuksen yhteydessä kaikkien verkkotunnusten vahvistamisen sijaan vain yksi verkkotunnus luettelosta tarkistettiin uudelleen (jos pyynnössä oli N toimialuetta, N:n eri tarkistuksen sijaan yksi verkkotunnus tarkistettiin N ajat). Muille verkkotunnuksille toista tarkistusta ei suoritettu ja ensimmäisen tarkistuksen tietoja käytettiin päätöksenteossa (eli enintään 30 päivää vanhoja tietoja käytettiin). Tämän seurauksena Let's Encrypt saattoi antaa varmenteen 30 päivän kuluessa ensimmäisestä varmennuksesta, vaikka CAA-tietueen arvoa muutettiin ja Let's Encrypt poistettaisiin hyväksyttävien CA:iden luettelosta.
Asianomaisille käyttäjille ilmoitetaan sähköpostitse, jos yhteystiedot on täytetty varmennetta vastaanotettaessa. Voit tarkistaa sertifikaatit lataamalla peruutettujen tai käytettävien sertifikaattien sarjanumerot (sijaitsee IP-osoitteessa, Venäjän federaatiossa Roskomnadzorin toimesta). Voit selvittää kiinnostavan verkkotunnuksen varmenteen sarjanumeron komennolla:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Sarjanumero | tr-d:
Lähde: opennet.ru