„Let's Encrypt“ yra bendruomenės kontroliuojama ne pelno siekianti sertifikatų institucija, teikianti nemokamus sertifikatus visiems. apie artėjantį daugelio anksčiau išduotų TLS/SSL sertifikatų atšaukimą. Iš 116 mln. šiuo metu galiojančių „Leisk Encrypt“ sertifikatų bus atšaukti kiek daugiau nei 3 mln. (2.6 proc.), iš kurių maždaug 1 mln. yra dublikatai, susieti su tuo pačiu domenu (klaida daugiausia paveikė labai dažnai atnaujinamus sertifikatus, o tai yra kodėl tiek daug dublikatų). Atšaukimas numatytas kovo 4 dieną (tikslus laikas dar nenustatytas, tačiau atšaukimas įvyks tik 3 val. MSK).
Atšaukti reikia dėl vasario 29 d . Problema atsiranda nuo 25 m. liepos 2019 d. ir paveikia CAA įrašų tikrinimo sistemą DNS. CAA įrašas (,Sertifikavimo institucijos autorizacija) leidžia domeno savininkui aiškiai apibrėžti sertifikavimo instituciją, per kurią gali būti generuojami nurodyto domeno sertifikatai. Jei CA nėra įtraukta į CAA įrašus, ji turi blokuoti tam tikro domeno sertifikatų išdavimą ir informuoti domeno savininką apie bandymus patekti į kompromisą. Dažniausiai pažymos prašoma iš karto po CAA patikrinimo, tačiau patikrinimo rezultatas laikomas galiojančiu dar 30 dienų. Taisyklėse taip pat reikalaujama pakartotinę patikrą atlikti ne vėliau kaip likus 8 valandoms iki naujos pažymos išdavimo (t. y. jei praėjo 8 valandos nuo paskutinio patikrinimo, kai prašoma išduoti naują sertifikatą, būtina pakartotinė patikra).
Klaida įvyksta, jei sertifikato užklausa vienu metu apima kelis domenų vardus, kurių kiekvieną reikia patikrinti CAA. Klaidos esmė ta, kad pakartotinio tikrinimo metu, užuot patvirtinus visus domenus, buvo pakartotinai patikrintas tik vienas domenas iš sąrašo (jei užklausoje buvo N domenų, vietoj N skirtingų patikrinimų buvo patikrintas vienas domenas N laikai). Likusiems domenams antras patikrinimas nebuvo atliktas, o priimant sprendimą buvo naudojami pirmosios patikros duomenys (t. y. buvo naudojami iki 30 dienų senumo duomenys). Dėl to per 30 dienų po pirmojo patikrinimo „Let's Encrypt“ galėjo išduoti sertifikatą, net jei CAA įrašo reikšmė būtų pakeista ir „Let's Encrypt“ būtų pašalinta iš priimtinų CA sąrašo.
Jei gaunant sertifikatą buvo užpildyta kontaktinė informacija, paveikti vartotojai informuojami el. Galite patikrinti savo sertifikatus atsisiųsdami atšauktų sertifikatų serijos numeriai arba naudojant (yra IP adresu, Rusijos Federacijoje Roskomnadzor). Sertifikato serijos numerį dominančiam domenui galite sužinoti naudodami komandą:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Serijos\ numeris | tr-d :
Šaltinis: opennet.ru