Let's Encrypt - бұл қоғамдастық басқаратын, коммерциялық емес сертификаттау органы, ол барлығына тегін сертификаттар береді. көптеген бұрын шығарылған TLS/SSL сертификаттарының жойылуы туралы. Қазіргі уақытта жарамды 116 миллион Let's Encrypt сертификаттарының 3 миллионнан сәл астамы (2.6%) күші жойылады, олардың шамамен 1 миллионы бір доменге байланысты көшірмелер (қате негізінен өте жиі жаңартылатын сертификаттарға әсер етті, бұл неге көп көшірмелер бар). Кері қайтарып алу 4 наурызға жоспарланған (нақты уақыты әлі анықталған жоқ, бірақ кері қайтарып алу MSK түнгі 3-ке дейін болмайды).
Кері қайтарып алу қажеттігі 29 ақпанда табылған оқиғаға байланысты . Мәселе 25 жылдың 2019 шілдесінен бастап пайда болды және DNS жүйесіндегі CAA жазбаларын тексеру жүйесіне әсер етеді. CAA жазбасы (,Сертификаттау орталығы авторизациясы) домен иесіне сертификаттарды көрсетілген домен үшін жасауға болатын сертификаттау орталығын нақты анықтауға мүмкіндік береді. Егер CA CAA жазбаларының тізімінде болмаса, ол берілген домен үшін сертификаттардың шығарылуына тосқауыл қоюы және домен иесіне ымыраға келу әрекеттері туралы хабарлауы керек. Көп жағдайда сертификат CAA тексеруінен өткеннен кейін бірден сұралады, бірақ тексеру нәтижесі тағы 30 күн жарамды болып саналады. Ережелер сондай-ақ қайта тексеруді жаңа куәлік берілгенге дейін 8 сағаттан кешіктірмей жүргізуді талап етеді (яғни, жаңа куәлікті сұраған кезде соңғы тексеруден кейін 8 сағат өткен болса, қайта тексеру қажет).
Сертификат сұрауы бір уақытта бірнеше домен атауларын қамтитын болса, қате орын алады, олардың әрқайсысы CAA жазбасын тексеруді қажет етеді. Қатенің мәні мынада: қайта тексеру кезінде барлық домендерді тексерудің орнына тізімдегі бір ғана домен қайта тексерілді (егер сұрауда N домен болса, N түрлі тексерудің орнына бір домен N тексерілді. рет). Қалған домендер үшін екінші тексеру орындалмады және шешім қабылдау кезінде бірінші тексеру деректері пайдаланылды (яғни, 30 күнге дейінгі деректер пайдаланылды). Нәтижесінде, CAA жазбасының мәні өзгертілсе және Let's Encrypt рұқсат етілген сертификаттау органдарының тізімінен жойылса да, бірінші тексеруден кейін 30 күн ішінде Let's Encrypt сертификат бере алады.
Сертификат алған кезде байланыс ақпараты толтырылған болса, зардап шеккен пайдаланушылар электрондық пошта арқылы хабарланады. Жүктеп алу арқылы сертификаттарыңызды тексеруге болады қайтарып алынған сертификаттардың сериялық нөмірлері немесе пайдалану (IP мекенжайында орналасқан, Ресей Федерациясында Роскомнадзор). Сіз қызықтыратын домен үшін сертификаттың сериялық нөмірін келесі пәрмен арқылы біле аласыз:
openssl s_client -connect example.com:443 -showcerts /dev/null \
| openssl x509 -мәтін -noout | grep -A 1 сериялық\ нөмірі | tr -d :
Ақпарат көзі: opennet.ru