Let's Encrypt is in mienskip kontrolearre non-profit sertifikaatautoriteit dy't fergees sertifikaten oan elkenien leveret. oer it kommende ynlûken fan in protte earder útjûne TLS/SSL-sertifikaten. Fan 'e 116 miljoen op it stuit jildige Let's Encrypt-sertifikaten sille in bytsje mear as 3 miljoen (2.6%) ynlutsen wurde, wêrfan sawat 1 miljoen duplikaten binne ferbûn oan itselde domein (de flater hat benammen ynfloed op sertifikaten dy't heul faak bywurke wurde, wat is wêrom binne d'r safolle duplikaten). De weromrop is pland foar 4 maart (de krekte tiid is noch net fêststeld, mar de weromrop sil net plakfine oant 3 oere MSK).
De needsaak foar in weromroeping komt troch de ûntdekking op 29 febrewaris . It probleem is ferskynde sûnt 25 july 2019 en hat ynfloed op it systeem foar it kontrolearjen fan CAA-records yn DNS. CAA Record (, Certificate Authority Authorization) lit de domeineigner eksplisyt in sertifikaasjeautoriteit definiearje wêrmei sertifikaten kinne wurde generearre foar in spesifisearre domein. As in CA net yn 'e CAA-records stiet, moat it de útjefte fan sertifikaten foar in opjûne domein blokkearje en de domeineigner ynformearje oer besykjen om kompromissen te meitsjen. Yn 'e measte gefallen wurdt it sertifikaat fuortendaliks oanfrege nei it trochjaan fan' e CAA-kontrôle, mar it resultaat fan 'e kontrôle wurdt as jildich beskôge foar in oare 30 dagen. De regels fereaskje ek dat opnij ferifikaasje wurdt útfierd net letter as 8 oeren foar it útjaan fan in nij sertifikaat (dat is, as 8 oeren binne ferrûn sûnt de lêste ynspeksje by it oanfreegjen fan in nij sertifikaat, is in opnij ferifikaasje fereaske).
De flater komt foar as it sertifikaatfersyk ferskate domeinnammen tagelyk beslacht, elk fan dat fereasket in CAA-recordkontrôle. De essinsje fan 'e flater is dat op it momint fan opnij kontrolearjen, ynstee fan it falidearjen fan alle domeinen, mar ien domein út' e list waard opnij kontrolearre (as it fersyk N domeinen hie, ynstee fan N ferskillende kontrôles, waard ien domein kontrolearre N kear). Foar de oerbleaune domeinen waard in twadde kontrôle net útfierd en de gegevens fan 'e earste kontrôle waarden brûkt by it meitsjen fan in beslút (d.w.s. gegevens dy't oant 30 dagen âld wiene waarden brûkt). As resultaat koe Let's Encrypt binnen 30 dagen nei de earste ferifikaasje in sertifikaat útjaan, sels as de wearde fan it CAA-record waard feroare en Let's Encrypt waard fuortsmiten fan 'e list mei akseptabele CA's.
Betroude brûkers wurde per e-post op 'e hichte brocht as kontaktynformaasje ynfolle is by it ûntfangen fan it sertifikaat. Jo kinne jo sertifikaten kontrolearje troch te downloaden serial numbers fan ynlutsen sertifikaten of brûkend (leit op it IP-adres, yn 'e Russyske Federaasje troch Roskomnadzor). Jo kinne it serialnûmer fan it sertifikaat fine foar it domein fan belang mei it kommando:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -tekst -noout | grep -A 1 Serial\ Number | tr -d:
Boarne: opennet.ru