Let's Encrypt-ը համայնքի կողմից վերահսկվող շահույթ չհետապնդող հավաստագրերի մարմին է, որը անվճար վկայականներ է տրամադրում բոլորին: նախկինում տրված բազմաթիվ TLS/SSL վկայագրերի առաջիկա չեղարկման մասին: Ներկայումս գործող 116 միլիոն Let's Encrypt վկայականներից 3 միլիոնից մի փոքր ավելին (2.6%) կչեղարկվեն, որոնցից մոտավորապես 1 միլիոնը կրկնօրինակներ են՝ կապված նույն տիրույթի հետ (սխալը հիմնականում ազդել է շատ հաճախ թարմացվող վկայագրերի վրա, ինչը. ինչու են այդքան շատ կրկնօրինակներ): Հետկանչը նախատեսված է մարտի 4-ին (ճշգրիտ ժամը դեռ որոշված չէ, սակայն հետկանչը տեղի կունենա մինչև MSK-ի ժամը 3-ը):
Հետկանչի անհրաժեշտությունը պայմանավորված է փետրվարի 29-ի հայտնաբերմամբ . Խնդիրն առաջացել է 25 թվականի հուլիսի 2019-ից և ազդում է DNS-ում CAA գրառումների ստուգման համակարգի վրա։ CAA գրառում (,Սերտիֆիկատների մարմնի թույլտվություն) թույլ է տալիս տիրույթի սեփականատիրոջը հստակորեն սահմանել սերտիֆիկացման մարմին, որի միջոցով կարող են ստեղծվել վկայագրեր նշված տիրույթի համար: Եթե CA-ն նշված չէ CAA-ի գրառումներում, այն պետք է արգելափակի տվյալ տիրույթի համար վկայագրերի տրամադրումը և տեղեկացնի տիրույթի սեփականատիրոջը փոխզիջման փորձերի մասին: Շատ դեպքերում վկայականը պահանջվում է CAA ստուգումն անցնելուց անմիջապես հետո, սակայն ստուգման արդյունքը համարվում է վավեր ևս 30 օր: Կանոնները նաև պահանջում են, որ վերստուգումը կատարվի նոր վկայականի տրամադրումից ոչ ուշ, քան 8 ժամ առաջ (այսինքն, եթե նոր վկայական խնդրելիս վերջին ստուգումից անցել է 8 ժամ, անհրաժեշտ է վերստուգում):
Սխալը տեղի է ունենում, եթե վկայագրի հարցումը ներառում է միանգամից մի քանի տիրույթի անուններ, որոնցից յուրաքանչյուրը պահանջում է CAA գրառումների ստուգում: Սխալի էությունն այն է, որ վերստուգման ժամանակ բոլոր տիրույթները վավերացնելու փոխարեն ցուցակից միայն մեկ տիրույթ է վերստուգվել (եթե հարցումն ուներ N տիրույթ, N տարբեր ստուգումների փոխարեն մեկ տիրույթը ստուգվել է N. անգամ): Մնացած տիրույթների համար երկրորդ ստուգում չի կատարվել, և որոշում կայացնելիս օգտագործվել են առաջին ստուգման տվյալները (այսինքն՝ օգտագործվել են մինչև 30 օրվա վաղեմության տվյալներ)։ Արդյունքում, առաջին ստուգումից հետո 30 օրվա ընթացքում Let's Encrypt-ը կարող էր վկայական տալ, նույնիսկ եթե CAA գրառումի արժեքը փոխվեր, և Let's Encrypt-ը հեռացվեր ընդունելի CA-ների ցանկից:
Ազդեցության ենթարկված օգտվողները ծանուցվում են էլեկտրոնային փոստով, եթե վկայականը ստանալու ժամանակ կոնտակտային տվյալները լրացվել են: Դուք կարող եք ստուգել ձեր վկայականները՝ ներբեռնելով չեղյալ համարված վկայականների սերիական համարները կամ օգտագործումը (գտնվում է IP հասցեում, Ռուսաստանի Դաշնությունում Ռոսկոմնադզորի կողմից): Հետաքրքրվող տիրույթի համար վկայագրի սերիական համարը կարող եք պարզել՝ օգտագործելով հրամանը.
openssl s_client -կապել օրինակ.com:443 -ցուցադրումներ /dev/null\
| openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Source: opennet.ru