Let's Encrypt ass eng Gemeinschaftskontrolléiert Net-Gewënn Zertifika Autoritéit déi gratis Certificaten u jiddereen ubitt. iwwer déi kommend Réckzuch vu ville virdrun erausginn TLS / SSL Certificaten. Vun den 116 Milliounen aktuell gëltege Let's Encrypt Certificaten, ginn e bësse méi wéi 3 Millioune (2.6%) zréckgezunn, vun deenen ongeféier 1 Millioun Duplikate sinn, déi un deemselwechten Domain gebonnen sinn (de Feeler huet haaptsächlech Zertifikater betraff déi ganz dacks aktualiséiert ginn, wat ass firwat et sou vill Duplikate gëtt). De Réckruff ass geplangt fir de 4. Mäerz (déi genau Zäit ass nach net festgeluegt, awer d'Erënnerung wäert net bis 3 Auer MSK geschéien).
De Besoin fir eng Réckruff ass wéinst der Entdeckung den 29. Februar . De Problem ass zënter dem 25. Juli 2019 erschéngen an beaflosst de System fir d'CAA-Records an DNS ze kontrolléieren. CAA Rekord (, Certificate Authority Authorization) erlaabt dem Domainbesëtzer explizit eng Zertifizéierungsautoritéit ze definéieren, duerch déi Zertifikater fir eng spezifizéiert Domain generéiert kënne ginn. Wann e CA net an de CAA records opgezielt ass, muss et d'Ausstellung vun Certificaten fir e bestëmmten Domain blockéieren an den Domainbesëtzer iwwer Versuche fir Kompromëss informéieren. An de meeschte Fäll gëtt den Zertifika direkt gefrot nodeems de CAA Scheck passéiert ass, awer d'Resultat vum Scheck gëtt als gëlteg ugesinn fir weider 30 Deeg. D'Regele erfuerderen och d'Reverifizéierung net méi spéit wéi 8 Stonnen virun der Ausstellung vun engem neien Zertifika (dh wann 8 Stonnen zënter der leschter Inspektioun vergaange sinn wann Dir en neien Zertifika ufrot, ass eng Neiverifikatioun erfuerderlech).
De Feeler geschitt wann d'Zertifikatsufro e puer Domain Nimm gläichzäiteg ofdeckt, jidderee vun deenen eng CAA Rekordkontroll erfuerdert. D'Essenz vum Feeler ass datt zum Zäitpunkt vun der Iwwerpréiwung, anstatt all Domainen ze validéieren, nëmmen een Domain aus der Lëscht iwwerpréift gouf (wann d'Ufro N Domainen hat, anstatt N verschidde Kontrollen, gouf een Domain iwwerpréift N mol). Fir déi verbleiwen Domainen gouf eng zweet Scheck net gemaach an d'Donnéeën vum éischte Scheck goufen benotzt wann Dir eng Entscheedung maacht (dh Daten déi bis zu 30 Deeg al waren goufen benotzt). Als Resultat, bannent 30 Deeg no der éischter Verifikatioun, konnt Let's Encrypt e Certificat ausginn, och wann de Wäert vum CAA-Rekord geännert gouf a Let's Encrypt aus der Lëscht vun akzeptablen CAs geläscht gouf.
Betraffene Benotzer ginn per E-Mail informéiert wann d'Kontaktinformatioun ausgefëllt gouf wann se de Certificat kréien. Dir kënnt Är Certificaten iwwerpréiwen andeems Dir erofluet Serien Zuelen vun zréckgezunn Certificaten oder benotzt (op der IP Adress läit, an der russescher Federatioun vum Roskomnadzor). Dir kënnt d'Seriennummer vum Zertifika fir d'Domain vun Interesse erausfannen mat dem Kommando:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Serial\ Zuel | tr -d:
Source: opennet.ru