Let's Encrypt é unha autoridade de certificación sen ánimo de lucro controlada pola comunidade que ofrece certificados gratuítos para todos. sobre a próxima revogación de moitos certificados TLS/SSL emitidos anteriormente. Dos 116 millóns de certificados Let's Encrypt válidos actualmente, algo máis de 3 millóns (2.6%) serán revogados, dos cales aproximadamente 1 millón son duplicados vinculados a un mesmo dominio (o erro afectou principalmente a certificados que se actualizan con moita frecuencia, o que é por que hai tantos duplicados). A retirada está prevista para o 4 de marzo (a hora exacta aínda non se determinou, pero a retirada non se producirá ata as 3 da mañá do MSK).
A necesidade dunha retirada débese ao descubrimento o 29 de febreiro . O problema aparece dende o 25 de xullo de 2019 e afecta ao sistema para comprobar os rexistros CAA no DNS. Registro CAA (,Autorización da autoridade de certificación) permite ao propietario do dominio definir explícitamente unha autoridade de certificación a través da cal se poden xerar certificados para un dominio específico. Se unha CA non figura nos rexistros da CAA, debe bloquear a emisión de certificados para un determinado dominio e informar ao propietario do dominio sobre os intentos de comprometerse. Na maioría dos casos, o certificado solicítase inmediatamente despois de pasar a verificación CAA, pero o resultado da comprobación considérase válido durante outros 30 días. As normas tamén esixen que a verificación de novo se realice a máis tardar 8 horas antes da emisión dun novo certificado (é dicir, se pasaron 8 horas desde a última inspección ao solicitar un novo certificado, é necesaria unha nova verificación).
O erro ocorre se a solicitude de certificado abarca varios nomes de dominio á vez, cada un dos cales require unha comprobación de rexistro CAA. A esencia do erro é que no momento da comprobación de novo, en lugar de validar todos os dominios, só se comprobou de novo un dominio da lista (se a solicitude tiña N dominios, en lugar de N comprobacións diferentes, comprobouse un dominio N veces). Para os dominios restantes, non se realizou unha segunda comprobación e utilizáronse os datos da primeira comprobación para tomar unha decisión (é dicir, utilizáronse datos que tiñan ata 30 días de antigüidade). Como resultado, nun prazo de 30 días despois da primeira verificación, Let's Encrypt podería emitir un certificado aínda que se cambiase o valor do rexistro CAA e se eliminase Let's Encrypt da lista de CA aceptables.
Os usuarios afectados reciben unha notificación por correo electrónico se se encheu a información de contacto ao recibir o certificado. Podes consultar os teus certificados descargando números de serie de certificados revogados ou de uso (situado no enderezo IP, en la Federación Rusa por Roskomnadzor). Podes coñecer o número de serie do certificado para o dominio de interese usando o comando:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Número de serie\ | tr -d:
Fonte: opennet.ru