Let's Encrypt 인증서의 대량 해지

누구에게나 인증서를 무료로 제공하는 비상업적 커뮤니티 제어 CA인 Let's Encrypt, 경고 한 이전에 발급된 많은 TLS/SSL 인증서가 곧 취소될 예정입니다. 현재 116억 3만 개의 Let's Encrypt 인증서 중 2.6만 개(1%)가 해지될 예정이며, 이 중 약 4만 개는 동일한 도메인에 연결된 중복입니다(오류는 주로 매우 자주 업데이트되는 인증서에 영향을 미쳤습니다. 중복). 리콜은 3월 XNUMX일로 예정되어 있습니다(정확한 시간은 아직 결정되지 않았지만 MSK 오전 XNUMX시 이전에는 리콜되지 않음).

리콜 필요성은 29월 XNUMX일 확인된 실수. 이 문제는 25년 2019월 XNUMX일부터 나타나고 있으며 DNS에서 CAA 레코드를 확인하는 시스템에 영향을 미칩니다. CAA 레코드(RFC-6844, 인증 기관 권한 부여) 도메인 소유자는 지정된 도메인에 대해 인증서를 생성할 수 있는 인증 기관을 명시적으로 정의할 수 있습니다. 인증 기관이 CAA 레코드에 나열되지 않은 경우 이 도메인에 대한 인증서 발급을 차단하고 손상 시도에 대해 도메인 소유자에게 알려야 합니다. 대부분의 경우 인증서는 CAA 검증을 통과한 직후에 요청되지만 검증 결과는 30일 더 유효한 것으로 간주됩니다. 규칙은 또한 새 인증서가 발급되기 최소 8시간 전에 재검증을 요구합니다(즉, 새 인증서가 요청된 마지막 검증 이후 8시간이 경과한 경우 재검증이 필요함).

인증서 요청이 한 번에 여러 도메인 이름을 포함하고 각 도메인 이름에 CAA 레코드 확인이 필요한 경우 오류가 발생합니다. 오류의 본질은 재확인 시 모든 도메인을 검증하는 대신 목록에서 하나의 도메인만 재확인했다는 것입니다(요청에 N개의 도메인이 있는 경우 N개의 서로 다른 확인 대신 하나의 도메인이 N번 확인). 그 외 도메인의 경우 30차 확인을 하지 않고 30차 확인 데이터(즉, XNUMX일 이내의 데이터 사용)로 판단하였다. 그 결과 XNUMX차 확인 후 XNUMX일 이내에 Let's Encrypt는 CAA 레코드의 값이 변경되어 유효한 CA 목록에서 Let's Encrypt가 제거된 경우에도 인증서를 발급할 수 있었습니다.

영향을 받는 사용자는 인증서를 받을 때 연락처 정보를 입력한 경우 이메일 알림을 받았습니다. 다운로드를 통해 인증서를 확인할 수 있습니다. 명부 해지된 인증서의 일련 번호 또는 사용 온라인 서비스 (IP 주소에 위치, 막힌 Roskomnadzor의 러시아 연방에서). 다음 명령을 사용하여 원하는 도메인에 대한 인증서의 일련 번호를 찾을 수 있습니다.

openssl s_client -connect example.com:443 -showcerts /개발/널\
| openssl x509 -텍스트 -noout | grep -A 1 일련 번호 | tr -d :

출처 : opennet.ru