Let's Encrypt はコミュニティ管理の非営利認証局であり、誰にでも無料の証明書を提供します。 以前に発行された多くの TLS/SSL 証明書の今後の失効について。 現在有効な Let's Encrypt 証明書 116 億 3 万件のうち、2.6 万件強 (1%) が失効します。そのうち約 4 万件は同じドメインに関連付けられた重複です (このエラーは主に、非常に頻繁に更新される証明書に影響を与えました)なぜ重複が多いのか)。 リコールは 3 月 XNUMX 日に予定されています (正確な時間はまだ決定されていませんが、リコールは MSK の午前 XNUMX 時まで行われません)。
リコールの必要性は29月XNUMX日の発見によるもの 。 この問題は25年2019月XNUMX日から発生しており、DNSのCAAレコードを確認するシステムに影響を与えている。 CAA レコード (、認証局認可) を使用すると、ドメイン所有者は、指定されたドメインに対して証明書を生成できる認証局を明示的に定義できます。 CA が CAA レコードにリストされていない場合は、特定のドメインの証明書の発行をブロックし、侵害の試みについてドメイン所有者に通知する必要があります。 ほとんどの場合、証明書は CAA チェックに合格した直後に要求されますが、チェックの結果はさらに 30 日間有効とみなされます。 この規則では、新しい証明書の発行の 8 時間前までに再検証を実行することも求めています (つまり、新しい証明書を要求するときに最後の検査から 8 時間が経過した場合は、再検証が必要です)。
このエラーは、証明書要求が一度に複数のドメイン名をカバーしており、それぞれのドメイン名で CAA レコード チェックが必要な場合に発生します。 エラーの本質は、再チェック時に、すべてのドメインを検証するのではなく、リストの 30 つのドメインだけが再チェックされたことです (リクエストに N 個のドメインがあった場合、N 個の異なるチェックではなく、30 つのドメインがチェックされました)回)。 残りのドメインについては、XNUMX 回目のチェックは実行されず、決定を行う際に最初のチェックのデータが使用されました (つまり、最大 XNUMX 日前のデータが使用されました)。 その結果、最初の検証から XNUMX 日以内であれば、CAA レコードの値が変更され、Let's Encrypt が許容可能な CA のリストから削除された場合でも、Let's Encrypt は証明書を発行できました。
証明書を受け取るときに連絡先情報が入力されたかどうかは、影響を受けるユーザーに電子メールで通知されます。 証明書をダウンロードして確認できます 失効した証明書のシリアル番号または使用 (IP アドレスにあります。 ロシア連邦ではRoskomnadzorによって)。 次のコマンドを使用して、対象のドメインの証明書のシリアル番号を確認できます。
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 シリアル\ 番号 | tr -d :
出所: オープンネット.ru