Let's Encrypt, CA non-komersial yang dikendalikan komunitas yang memberikan sertifikat gratis kepada siapa pun, tentang pencabutan banyak sertifikat TLS/SSL yang diterbitkan sebelumnya. Dari 116 juta sertifikat Let's Encrypt saat ini, lebih dari 3 juta (2.6%) akan dicabut, di mana sekitar 1 juta adalah duplikat yang terkait dengan domain yang sama (kesalahan terutama memengaruhi sertifikat yang sangat sering diperbarui, itulah sebabnya ada begitu banyak duplikat). Penarikan kembali dijadwalkan pada 4 Maret (waktu pastinya belum ditentukan, tetapi penarikan akan dilakukan tidak lebih awal dari pukul 3 pagi MSK).
Perlunya penarikan kembali karena teridentifikasi pada 29 Februari . Masalahnya telah muncul sejak 25 Juli 2019 dan memengaruhi sistem untuk memeriksa catatan CAA di DNS. Catatan CAA (, Otorisasi Otoritas Sertifikat) memungkinkan pemilik domain untuk secara eksplisit menentukan otoritas sertifikasi yang dapat digunakan untuk membuat sertifikat untuk domain yang ditentukan. Jika otoritas sertifikasi tidak tercantum dalam catatan CAA, maka otoritas tersebut harus memblokir penerbitan sertifikat untuk domain ini dan memberi tahu pemilik domain tentang upaya penyusupan. Dalam kebanyakan kasus, sertifikat diminta segera setelah lulus verifikasi CAA, tetapi hasil verifikasi dianggap berlaku selama 30 hari lagi. Aturan juga mensyaratkan validasi ulang selambat-lambatnya 8 jam sebelum sertifikat baru dikeluarkan (yaitu, jika 8 jam telah berlalu sejak validasi terakhir saat sertifikat baru diminta, validasi ulang diperlukan).
Kesalahan terjadi jika permintaan sertifikat mencakup beberapa nama domain sekaligus, yang masing-masing memerlukan verifikasi catatan CAA. Inti dari kesalahannya adalah bahwa pada saat pemeriksaan ulang, alih-alih memvalidasi semua domain, hanya satu domain dari daftar yang diperiksa ulang (jika ada N domain dalam permintaan, alih-alih N pemeriksaan berbeda, satu domain adalah diperiksa N kali). Untuk domain lain, pemeriksaan kedua tidak dilakukan dan keputusan dibuat menggunakan data dari pemeriksaan pertama (yaitu, data yang digunakan hingga 30 hari). Hasilnya, dalam 30 hari sejak pemeriksaan pertama, Let's Encrypt dapat mengeluarkan sertifikat meskipun nilai catatan CAA diubah dan Let's Encrypt dihapus dari daftar CA yang valid.
Pengguna yang terpengaruh dikirimi email pemberitahuan jika informasi kontak diisi saat mereka menerima sertifikat. Anda dapat memeriksa sertifikat Anda dengan mengunduh nomor seri sertifikat yang dicabut atau dengan menggunakan (terletak di alamat IP, di Federasi Rusia oleh Roskomnadzor). Anda dapat mengetahui nomor seri sertifikat untuk domain yang diminati menggunakan perintah:
openssl s_client -hubungkan example.com:443 -showcerts /dev/null\
| openssl x509 -teks -noout | grep -A 1 Serial\Nomor | tr -d :
Sumber: opennet.ru