Let's Encrypt je neprofitno tijelo za izdavanje certifikata pod kontrolom zajednice koje svima daje besplatne certifikate. o nadolazećem opozivu mnogih prethodno izdanih TLS/SSL certifikata. Od 116 milijuna trenutno važećih Let's Encrypt certifikata, nešto više od 3 milijuna (2.6%) bit će opozvano, od čega je otprilike 1 milijun duplikata vezanih uz istu domenu (greška je uglavnom zahvatila certifikate koji se vrlo često ažuriraju, što je zašto ima toliko duplikata). Opoziv je zakazan za 4. ožujka (točno vrijeme još nije određeno, ali do opoziva neće doći prije 3 sata ujutro MSK).
Potreba za opozivom je zbog otkrića 29. veljače . Problem se javlja od 25. srpnja 2019. i utječe na sustav provjere CAA zapisa u DNS-u. Zapis CAA (,Certificate Authority Authorization) omogućuje vlasniku domene eksplicitno definiranje tijela za izdavanje certifikata preko kojeg se mogu generirati certifikati za određenu domenu. Ako CA nije naveden u CAA zapisima, mora blokirati izdavanje certifikata za određenu domenu i obavijestiti vlasnika domene o pokušajima kompromitacije. U većini slučajeva, certifikat se traži odmah nakon prolaska CAA provjere, ali se rezultat provjere smatra valjanim još 30 dana. Pravila također nalažu da se ponovna provjera izvrši najkasnije 8 sati prije izdavanja novog certifikata (tj. ako je od zadnjeg pregleda prošlo 8 sati pri traženju novog certifikata, potrebna je ponovna provjera).
Pogreška se javlja ako zahtjev za certifikatom pokriva nekoliko naziva domena odjednom, od kojih svaki zahtijeva provjeru zapisa CAA. Suština greške je da je u trenutku ponovne provjere, umjesto validacije svih domena, ponovo provjerena samo jedna domena s liste (ako je zahtjev imao N domena, umjesto N različitih provjera, provjeravana je jedna domena N puta). Za ostale domene nije rađena druga provjera te su prilikom donošenja odluke korišteni podaci iz prve provjere (tj. korišteni su podaci stari do 30 dana). Kao rezultat toga, u roku od 30 dana nakon prve provjere, Let's Encrypt mogao je izdati certifikat čak i ako je vrijednost CAA zapisa promijenjena i Let's Encrypt uklonjen s popisa prihvatljivih CA-ova.
Pogođeni korisnici dobivaju obavijest e-poštom ako su podaci za kontakt bili ispunjeni prilikom primitka certifikata. Svoje certifikate možete provjeriti preuzimanjem serijski brojevi opozvanih certifikata ili korištenje (nalazi se na IP adresi, u Ruskoj Federaciji Roskomnadzor). Serijski broj certifikata za domenu od interesa možete saznati pomoću naredbe:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -tekst -noout | grep -A 1 serijski\ broj | tr -d :
Izvor: opennet.ru