Let's Encrypt se yon otorite sètifika kominotè ki pa gen pwofi ki bay sètifika gratis pou tout moun. konsènan revokasyon k ap vini anpil sètifika TLS/SSL yo te bay deja. Nan 116 milyon sètifika Let's Encrypt ki valab kounye a, yon ti kras plis pase 3 milyon dola (2.6%) pral revoke, nan ki apeprè 1 milyon dola se kopi ki mare nan menm domèn (erè a sitou afekte sètifika ki mete ajou trè souvan, ki se poukisa gen anpil kopi). Rapèl la pwograme pou 4 mas (lè egzak la poko detèmine, men rapèl la p ap fèt jiska 3 a.m. MSK).
Bezwen pou yon rapèl se akòz dekouvèt la 29 fevriye . Pwoblèm nan parèt depi 25 jiyè 2019 e li afekte sistèm pou tcheke dosye CAA nan DNS. Dosye CAA (,Otorizasyon Otorite Sètifika) pèmèt pwopriyetè domèn defini klèman yon otorite sètifikasyon ki ka pwodwi sètifika pou yon domèn espesifik. Si yon CA pa nan lis dosye CAA yo, li dwe bloke emisyon sètifika pou yon domèn bay epi enfòme pwopriyetè domèn nan sou tantativ pou fè konpwomi. Nan pifò ka yo, yo mande sètifika a imedyatman apre yo fin pase chèk CAA a, men rezilta chèk la konsidere kòm valab pou yon lòt 30 jou. Règ yo egzije tou pou re-verifikasyon fèt pa pita pase 8 èdtan anvan emisyon yon nouvo sètifika (sa vle di, si 8 èdtan te pase depi dènye enspeksyon an lè yo mande yon nouvo sètifika, yon re-verifikasyon obligatwa).
Erè a rive si demann sètifika a kouvri plizyè non domèn nan yon fwa, chak nan yo mande pou yon chèk dosye CAA. Sans nan erè a se ke nan moman an nan re-tcheke, olye pou yo valide tout domèn, se sèlman yon domèn nan lis la te re-tcheke (si demann lan te gen N domèn, olye pou yo N chèk diferan, yon domèn yo te tcheke N. fwa). Pou domèn ki rete yo, yo pa t fè yon dezyèm chèk epi yo te itilize done ki soti nan premye chèk la lè yo te pran yon desizyon (sa vle di, yo te itilize done ki te rive jiska 30 jou). Kòm yon rezilta, nan lespas 30 jou apre premye verifikasyon an, Let's Encrypt te kapab bay yon sètifika menm si valè dosye CAA a te chanje epi Let's Encrypt te retire nan lis CA akseptab yo.
Itilizatè ki afekte yo resevwa yon imèl si enfòmasyon kontak yo te ranpli lè yo resevwa sètifika a. Ou ka tcheke sètifika ou pa telechaje nimewo seri sètifika anile oswa lè l sèvi avèk (ki chita sou adrès IP la, nan Federasyon Larisi la pa Roskomnadzor). Ou ka jwenn nimewo seri sètifika a pou domèn nan enterè lè l sèvi avèk kòmandman an:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Seri\ Nimewo | tr -d :
Sous: opennet.ru