Let's Encrypt est une autorité de certification à but non lucratif contrôlée par la communauté qui fournit des certificats gratuits à tout le monde. concernant la révocation prochaine de nombreux certificats TLS/SSL précédemment émis. Sur les 116 millions de certificats Let's Encrypt actuellement valides, un peu plus de 3 millions (2.6 %) seront révoqués, dont environ 1 million sont des doublons liés au même domaine (l'erreur a principalement touché les certificats qui sont mis à jour très fréquemment, ce qui est pourquoi il y a tant de doublons). Le rappel est prévu pour le 4 mars (l'heure exacte n'a pas encore été déterminée, mais le rappel n'interviendra qu'à 3 heures du matin MSK).
La nécessité d'un rappel est due à la découverte du 29 février . Le problème apparaît depuis le 25 juillet 2019 et affecte le système de vérification des enregistrements CAA dans le DNS. Dossier CAA (,Certificate Authority Authorization) permet au propriétaire du domaine de définir explicitement une autorité de certification par l'intermédiaire de laquelle des certificats peuvent être générés pour un domaine spécifié. Si une autorité de certification n'est pas répertoriée dans les enregistrements de la CAA, elle doit bloquer la délivrance de certificats pour un domaine donné et informer le propriétaire du domaine des tentatives de compromission. Dans la plupart des cas, le certificat est demandé immédiatement après avoir passé le contrôle CAA, mais le résultat du contrôle est considéré comme valable pendant 30 jours supplémentaires. Les règles exigent également qu'une revérification soit effectuée au plus tard 8 heures avant la délivrance d'un nouveau certificat (c'est-à-dire que si 8 heures se sont écoulées depuis la dernière inspection lors de la demande d'un nouveau certificat, une revérification est requise).
L'erreur se produit si la demande de certificat couvre plusieurs noms de domaine à la fois, chacun nécessitant une vérification des enregistrements CAA. L'essence de l'erreur est qu'au moment de la revérification, au lieu de valider tous les domaines, un seul domaine de la liste a été revérifié (si la demande avait N domaines, au lieu de N contrôles différents, un domaine a été vérifié N fois). Pour les domaines restants, aucune deuxième vérification n'a été effectuée et les données de la première vérification ont été utilisées pour prendre une décision (c'est-à-dire que des données datant de 30 jours maximum ont été utilisées). En conséquence, dans les 30 jours suivant la première vérification, Let's Encrypt pouvait émettre un certificat même si la valeur de l'enregistrement CAA était modifiée et que Let's Encrypt était supprimé de la liste des autorités de certification acceptables.
Les utilisateurs concernés sont avertis par e-mail si les informations de contact ont été renseignées lors de la réception du certificat. Vous pouvez vérifier vos certificats en téléchargeant numéros de série des certificats révoqués ou en utilisant (situé sur l'adresse IP, en Fédération de Russie par Roskomnadzor). Vous pouvez connaître le numéro de série du certificat pour le domaine d'intérêt à l'aide de la commande :
openssl s_client -connect exemple.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Numéro de série\ | tr -d :
Source: opennet.ru