Ayo Encrypt minangka panguwasa sertifikat nirlaba sing dikontrol komunitas sing nyedhiyakake sertifikat gratis kanggo kabeh wong. babagan pencabutan mbesuk akeh sertifikat TLS/SSL sing ditanggepi sadurunge. Saka 116 yuta sertifikat Ayo Encrypt sing sah, luwih saka 3 yuta (2.6%) bakal dicabut, sing kira-kira 1 yuta duplikat sing disambungake menyang domain sing padha (kesalahan utamane kena pengaruh sertifikat sing kerep dianyari, yaiku kok akeh duplikat). Pangeling-eling kasebut dijadwalake tanggal 4 Maret (wektu sing tepat durung ditemtokake, nanging penarikan kasebut ora bakal kedadeyan nganti jam 3 MSK).
Perlu dielingake amarga ditemokake ing 29 Februari . Masalah kasebut wis katon wiwit 25 Juli 2019 lan mengaruhi sistem kanggo mriksa cathetan CAA ing DNS. Cathetan CAA (, Otoritas Panguwasa Sertifikat) ngidini pemilik domain nemtokake kanthi jelas wewenang sertifikasi ing ngendi sertifikat bisa diasilake kanggo domain sing ditemtokake. Yen CA ora kadhaptar ing cathetan CAA, kudu mblokir penerbitan sertifikat kanggo domain tartamtu lan ngandhani pemilik domain babagan upaya kanggo kompromi. Umume kasus, sertifikat kasebut dijaluk langsung sawise lulus mriksa CAA, nanging asil pamriksa kasebut dianggep bener sajrone 30 dina liyane. Aturan kasebut uga mbutuhake verifikasi maneh ora luwih saka 8 jam sadurunge ditanggepi sertifikat anyar (yaiku, yen 8 jam wis liwati wiwit pemeriksaan pungkasan nalika njaluk sertifikat anyar, verifikasi maneh dibutuhake).
Kesalahan kasebut kedadeyan yen panyuwunan sertifikat nyakup sawetara jeneng domain bebarengan, saben-saben mbutuhake mriksa rekaman CAA. Inti saka kesalahan yaiku nalika mriksa maneh, tinimbang validasi kabeh domain, mung siji domain saka dhaptar sing dicenthang maneh (yen panyuwunan duwe N domain, tinimbang N mriksa beda, siji domain dicenthang N kaping). Kanggo domain sing isih ana, priksa kapindho ora ditindakake lan data saka pamriksa pisanan digunakake nalika nggawe keputusan (yaiku, data sing umure nganti 30 dina digunakake). AkibatΓ©, sajrone 30 dina sawise verifikasi pisanan, Ayo Encrypt bisa ngetokake sertifikat sanajan nilai rekaman CAA diganti lan Ayo Encrypt dibusak saka dhaptar CA sing bisa ditampa.
Pangguna sing kena pengaruh diwenehi kabar liwat email yen informasi kontak diisi nalika nampa sertifikat. Sampeyan bisa mriksa sertifikat kanthi ngundhuh nomer serial saka certificate revoked utawa nggunakake (dumunung ing alamat IP, ing Federasi Rusia dening Roskomnadzor). Sampeyan bisa ngerteni nomer seri sertifikat kanggo domain kapentingan nggunakake printah:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -teks -noout | grep -A 1 Serial\ Number | tr -d:
Source: opennet.ru