Let's Encrypt è un'autorità di certificazione senza scopo di lucro controllata dalla comunità che fornisce certificati gratuiti a tutti. sull’imminente revoca di molti certificati TLS/SSL emessi in precedenza. Dei 116 milioni di certificati Let's Encrypt attualmente validi, poco più di 3 milioni (2.6%) verranno revocati, di cui circa 1 milione sono duplicati legati allo stesso dominio (l'errore ha interessato soprattutto i certificati che vengono aggiornati molto frequentemente, il che è perché ci sono così tanti duplicati). Il richiamo è previsto per il 4 marzo (l'ora esatta non è stata ancora stabilita, ma il richiamo non avverrà prima delle 3 del mattino MSK).
La necessità di un richiamo è dovuta al ritrovamento avvenuto il 29 febbraio . Il problema si presenta dal 25 luglio 2019 e interessa il sistema di controllo dei record CAA nel DNS. Registro CAA (,Certificate Authority Authorization) consente al proprietario del dominio di definire esplicitamente un'autorità di certificazione attraverso la quale è possibile generare certificati per un dominio specificato. Se una CA non è elencata nei record CAA, deve bloccare l'emissione di certificati per un determinato dominio e informare il proprietario del dominio dei tentativi di compromissione. Nella maggior parte dei casi il certificato viene richiesto subito dopo aver superato il controllo CAA, ma l'esito del controllo viene considerato valido per altri 30 giorni. Le regole richiedono inoltre che la nuova verifica venga eseguita entro e non oltre 8 ore prima dell'emissione di un nuovo certificato (vale a dire, se sono trascorse 8 ore dall'ultima ispezione al momento della richiesta di un nuovo certificato, è necessaria una nuova verifica).
L'errore si verifica se la richiesta di certificato copre più nomi di dominio contemporaneamente, ognuno dei quali richiede un controllo del record CAA. L'essenza dell'errore è che al momento del ricontrollo, invece di convalidare tutti i domini, è stato ricontrollato solo un dominio dall'elenco (se la richiesta aveva N domini, invece di N controlli diversi, è stato controllato un dominio N volte). Per i restanti domini non è stato effettuato un secondo controllo e per la decisione sono stati utilizzati i dati del primo controllo (ovvero sono stati utilizzati dati risalenti fino a 30 giorni). Di conseguenza, entro 30 giorni dalla prima verifica, Let's Encrypt potrebbe emettere un certificato anche se il valore del record CAA fosse modificato e Let's Encrypt fosse rimosso dall'elenco delle CA accettabili.
Gli utenti interessati vengono avvisati via e-mail se le informazioni di contatto sono state inserite al momento della ricezione del certificato. Puoi controllare i tuoi certificati scaricandoli numeri di serie dei certificati revocati o in uso (situato sull'indirizzo IP, nella Federazione Russa da Roskomnadzor). Puoi conoscere il numero di serie del certificato relativo al dominio di interesse utilizzando il comando:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Numero di serie\ | tr -d:
Fonte: opennet.ru