Let's Encrypt er samfélagsstýrt vottorðayfirvöld sem ekki eru rekin í hagnaðarskyni sem veitir öllum ókeypis skírteini. um væntanlega afturköllun margra áður útgefinna TLS/SSL vottorða. Af 116 milljónum núgildandi Let's Encrypt vottorða verða aðeins meira en 3 milljónir (2.6%) afturkallaðar, þar af um það bil 1 milljón afrit tengd sama léni (villan hafði aðallega áhrif á skilríki sem eru uppfærð mjög oft, sem er hvers vegna það eru svona margar afrit). Áætluð innköllun er 4. mars (nákvæmur tími hefur ekki enn verið ákveðinn, en innköllunin mun ekki eiga sér stað fyrr en kl. 3:XNUMX MSK).
Þörfin fyrir innköllun er vegna uppgötvunarinnar 29. febrúar . Vandamálið hefur verið að birtast síðan 25. júlí 2019 og hefur áhrif á kerfið til að athuga CAA færslur í DNS. CAA met (,Vottunarvaldsheimild) gerir lénseigandanum kleift að skilgreina sérstaklega vottunaryfirvald þar sem hægt er að búa til vottorð fyrir tiltekið lén. Ef CA er ekki skráð í CAA gögnum verður það að loka fyrir útgáfu skírteina fyrir tiltekið lén og upplýsa lénseiganda um tilraunir til málamiðlana. Í flestum tilfellum er óskað eftir skírteini strax eftir að hafa staðist skoðun Flugmálastjórnar, en niðurstaða athugunarinnar telst gilda í 30 daga í viðbót. Reglurnar gera einnig ráð fyrir að endursannprófun fari fram eigi síðar en 8 tímum fyrir útgáfu nýs skírteinis (þ.e. ef 8 klukkustundir eru liðnar frá síðustu skoðun þegar óskað er eftir nýju skírteini þarf endursönnun).
Villan á sér stað ef vottorðsbeiðnin nær yfir nokkur lén í einu, sem hvert um sig krefst skoðunar CAA skrár. Kjarni villunnar er að við endurskoðun, í stað þess að staðfesta öll lén, var aðeins eitt lén af listanum athugað aftur (ef beiðnin hafði N lén, í stað N mismunandi athugana, var eitt lén athugað N sinnum). Fyrir þau lén sem eftir voru var önnur athugun ekki framkvæmd og gögnin úr fyrstu athuguninni voru notuð þegar ákvörðun var tekin (þ.e. gögn sem voru allt að 30 daga gömul voru notuð). Þar af leiðandi gæti Let's Encrypt gefið út skírteini innan 30 daga frá fyrstu staðfestingu, jafnvel þótt gildi CAA færslunnar væri breytt og Let's Encrypt væri fjarlægt af listanum yfir viðunandi CA.
Notendur sem verða fyrir áhrifum fá tilkynningu með tölvupósti ef tengiliðaupplýsingar voru fylltar út við móttöku vottorðsins. Þú getur athugað skírteinin þín með því að hlaða niður raðnúmer afturkallaðra vottorða eða notkun (staðsett á IP tölu, í Rússlandi af Roskomnadzor). Þú getur fundið út raðnúmer vottorðsins fyrir áhugalénið með því að nota skipunina:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -texti -noout | grep -A 1 Raðnúmer | tr -d:
Heimild: opennet.ru