Let's Encrypt ir kopienas kontrolēta bezpeļņas sertifikātu iestāde, kas ikvienam nodrošina bezmaksas sertifikātus. par gaidāmo daudzu iepriekš izsniegto TLS/SSL sertifikātu atsaukšanu. No 116 miljoniem pašlaik spēkā esošo Let's Encrypt sertifikātu tiks atsaukti nedaudz vairāk nekā 3 miljoni (2.6%), no kuriem aptuveni 1 miljons ir dublikāti, kas piesaistīti vienam domēnam (kļūda galvenokārt skāra sertifikātus, kas tiek atjaunināti ļoti bieži, kas ir kāpēc ir tik daudz dublikātu). Atsaukšana paredzēta 4.martā (precīzs laiks vēl nav noteikts, taču atsaukšana nenotiks līdz plkst. 3:XNUMX MSK).
Atsaukšanas nepieciešamība ir saistīta ar atklājumu 29. februārī . Problēma parādās kopš 25. gada 2019. jūlija un ietekmē CAA ierakstu pārbaudes sistēmu DNS. CAA ieraksts (,Certificate Authorization) ļauj domēna īpašniekam skaidri definēt sertifikācijas iestādi, ar kuras starpniecību var ģenerēt sertifikātus noteiktam domēnam. Ja CA nav norādīta CAA ierakstos, tai ir jābloķē sertifikātu izsniegšana konkrētam domēnam un jāinformē domēna īpašnieks par kompromisa mēģinājumiem. Vairumā gadījumu sertifikāts tiek pieprasīts uzreiz pēc CAA pārbaudes nokārtošanas, bet pārbaudes rezultāts tiek uzskatīts par derīgu vēl 30 dienas. Tāpat noteikumi paredz atkārtotu pārbaudi veikt ne vēlāk kā 8 stundas pirms jauna sertifikāta izsniegšanas (t.i., ja kopš pēdējās verifikācijas, pieprasot jaunu sertifikātu, ir pagājušas 8 stundas, nepieciešama atkārtota pārbaude).
Kļūda rodas, ja sertifikāta pieprasījums aptver vairākus domēna vārdus vienlaikus, un katram no tiem ir nepieciešama CAA ierakstu pārbaude. Kļūdas būtība ir tāda, ka atkārtotas pārbaudes laikā tā vietā, lai pārbaudītu visus domēnus, tika atkārtoti pārbaudīts tikai viens domēns no saraksta (ja pieprasījumam bija N domēni, N dažādu pārbaužu vietā tika pārbaudīts viens domēns N reizes). Pārējiem domēniem otrā pārbaude netika veikta un, pieņemot lēmumu, tika izmantoti pirmās pārbaudes dati (t.i., tika izmantoti dati, kas bija līdz 30 dienām veci). Rezultātā 30 dienu laikā pēc pirmās verifikācijas Let’s Encrypt varēja izsniegt sertifikātu pat tad, ja CAA ieraksta vērtība tika mainīta un Let’s Encrypt tika izņemts no pieņemamo sertifikācijas iestāžu saraksta.
Ietekmētie lietotāji tiek informēti pa e-pastu, ja, saņemot sertifikātu, tika aizpildīta kontaktinformācija. Jūs varat pārbaudīt savus sertifikātus, lejupielādējot anulēto sertifikātu sērijas numuri vai izmantošana (atrodas uz IP adreses, Krievijas Federācijā Roskomnadzor). Jūs varat uzzināt interesējošā domēna sertifikāta sērijas numuru, izmantojot komandu:
openssl s_client -connect example.com:443 -showcerts /dev/null \
| openssl x509 -text -noout | grep -A 1 Sērijas\ numurs | tr-d :
Avots: opennet.ru