Let's Encrypt - бул коомчулук тарабынан көзөмөлдөнгөн коммерциялык эмес тастыктама органы, ал баарына бекер сертификаттарды берет. көптөгөн мурда чыгарылган TLS/SSL сертификаттарынын жокко чыгарылышы жөнүндө. Учурда жарактуу 116 миллион Let's Encrypt сертификаттарынын 3 миллиондон бир аз ашыгы (2.6%) жокко чыгарылат, алардын болжол менен 1 миллиону бир эле доменге байланган дубликаттар (ката негизинен тез-тез жаңыртылган сертификаттарга таасирин тийгизет, бул эмнеге мынча коп дубликаттар бар). Чакыртып алуу 4-мартка пландаштырылган (так убактысы азырынча аныктала элек, бирок кайра чакыртып алуу MSK саат 3кө чейин болбойт).
Кайра чакыртып алуу зарылдыгы 29-февралдагы ачылышка байланыштуу . Көйгөй 25-жылдын 2019-июлунан бери пайда болуп, DNSдеги CAA жазууларын текшерүү тутумуна таасирин тийгизүүдө. CAA рекорду (,Сертификат органынын авторизациясы) домендин ээсине тастыктама органын так аныктоого мүмкүндүк берет, ал аркылуу сертификаттар көрсөтүлгөн домен үчүн түзүлөт. Эгерде CA CAA жазууларында жок болсо, анда ал берилген домен үчүн сертификаттардын чыгарылышын бөгөттөп, домен ээсине компромисске баруу аракеттери жөнүндө маалымат бериши керек. Көпчүлүк учурларда, сертификат CAA текшерүүсүнөн өткөндөн кийин дароо суралат, бирок текшерүүнүн натыйжасы дагы 30 күнгө жарактуу деп эсептелет. Эрежелер ошондой эле кайра текшерүүнү жаңы күбөлүк берилгенге чейин 8 сааттан кечиктирбестен жүргүзүүнү талап кылат (б.а., эгерде жаңы сертификатты талап кылууда акыркы текшерүүдөн 8 саат өткөн болсо, кайра текшерүү талап кылынат).
Ката, эгерде сертификат сурамы бир эле учурда бир нече домендик аталыштарды камтыса, алардын ар бири CAA жазуусун текшерүүнү талап кылса пайда болот. Катанын маңызы - кайра текшерүү учурунда бардык домендерди текшерүүнүн ордуна тизмеден бир гана домен кайра текшерилген (эгер суроо-талапта N домен болсо, N ар кандай текшерүүнүн ордуна бир домен N текшерилген. жолу). Калган домендер үчүн экинчи текшерүү жүргүзүлгөн эмес жана чечим кабыл алууда биринчи текшерүүнүн маалыматтары колдонулган (б.а. 30 күнгө чейинки маалыматтар колдонулган). Натыйжада, биринчи текшерүүдөн кийин 30 күндүн ичинде Let's Encrypt CAA жазуусунун мааниси өзгөртүлүп, Let's Encrypt алгылыктуу CA тизмесинен алынып салынса да сертификат бере алат.
Сертификатты алууда байланыш маалыматы толтурулган болсо, жабыр тарткан колдонуучулар электрондук почта аркылуу кабарланат. Жүктөп алуу менен сертификаттарыңызды текшере аласыз жокко чыгарылган сертификаттардын сериялык номерлери же колдонулушу (IP дарегинде жайгашкан, Россия Федерациясында Роскомнадзор тарабынан). Кызыккан домендин сертификатынын сериялык номерин төмөнкү буйрукту колдонуу менен биле аласыз:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Сериялык\ Номер | tr -d :
Source: opennet.ru