A Let's Encrypt egy közösség által ellenőrzött non-profit tanúsító hatóság, amely ingyenes tanúsítványokat biztosít mindenkinek. számos korábban kiadott TLS/SSL tanúsítvány közelgő visszavonásáról. A jelenleg érvényes 116 millió Let's Encrypt tanúsítványból valamivel több mint 3 millió (2.6%) kerül visszavonásra, ebből körülbelül 1 millió ugyanazon tartományhoz kötött ismétlődés (a hiba elsősorban a nagyon gyakran frissülő tanúsítványokat érintette, ami miért van annyi ismétlődés). A visszahívást március 4-re tervezik (a pontos időpont még nincs meghatározva, de a visszahívásra csak MSK hajnali 3 órakor kerül sor).
A visszahívásra a február 29-i felfedezés miatt van szükség . A probléma 25. július 2019. óta jelentkezik, és a DNS-ben lévő CAA-rekordokat ellenőrző rendszert érinti. CAA rekord (,Certificate Authorization) lehetővé teszi a tartománytulajdonos számára, hogy kifejezetten meghatározzon egy hitelesítés-szolgáltatót, amelyen keresztül tanúsítványok generálhatók egy adott tartományhoz. Ha egy CA nem szerepel a CAA-rekordokban, akkor blokkolnia kell egy adott tartományra vonatkozó tanúsítványok kiadását, és tájékoztatnia kell a tartomány tulajdonosát a kompromittációs kísérletekről. A legtöbb esetben a CAA-ellenőrzés sikeres letétele után azonnal kérik a tanúsítványt, de az ellenőrzés eredménye még 30 napig érvényesnek minősül. A szabályok azt is előírják, hogy az újbóli hitelesítést legkésőbb 8 órával az új tanúsítvány kiállítása előtt kell elvégezni (tehát ha új tanúsítvány igénylésekor az utolsó ellenőrzés óta 8 óra telt el, akkor újbóli hitelesítés szükséges).
A hiba akkor fordul elő, ha a tanúsítványkérés egyszerre több tartománynévre vonatkozik, amelyek mindegyikéhez CAA-rekordellenőrzés szükséges. A hiba lényege, hogy az újraellenőrzéskor az összes tartomány érvényesítése helyett csak egy tartományt ellenőriztek újra a listából (ha a kérésnek N tartománya volt, akkor N különböző ellenőrzés helyett egy tartományt ellenőriztek N alkalommal). A fennmaradó tartományok esetében a második ellenőrzés nem történt meg, és az első ellenőrzés adatait használták fel a döntés meghozatalakor (azaz legfeljebb 30 napos adatokat használtak fel). Ennek eredményeként az első ellenőrzést követő 30 napon belül a Let's Encrypt akkor is kiadhat egy tanúsítványt, ha a CAA rekord értéke megváltozott, és a Let's Encryptet eltávolították az elfogadható CA-k listájáról.
Az érintett felhasználók e-mailben értesítést kapnak, ha a tanúsítvány átvételekor megadták a kapcsolattartási adatokat. A tanúsítványokat letöltéssel ellenőrizheti a visszavont tanúsítványok sorszáma vagy a felhasználás (az IP-címen található, az Orosz Föderációban a Roszkomnadzor). Az érdekelt tartományhoz tartozó tanúsítvány sorozatszámát a következő paranccsal találhatja meg:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Sorozatszám | tr -d :
Forrás: opennet.ru