Масовно отповикување на сертификатите Let's Encrypt

Let's Encrypt, некомерцијална, контролирана од заедницата CA која обезбедува сертификати бесплатно на секого, предупреди за претстојното отповикување на многу претходно издадени TLS/SSL сертификати. Од 116 милиони тековни сертификати Let's Encrypt, нешто повеќе од 3 милиони (2.6%) ќе бидат отповикани, од кои приближно 1 милион се дупликати врзани за истиот домен (грешката главно влијаеше на многу често ажурираните сертификати, поради што има толку многу дупликати). Повлекувањето е закажано за 4 март (точното време сè уште не е одредено, но отповикувањето ќе биде направено не порано од 3 часот по полноќ МСК).

Потребата од отповикување е поради идентификуваните на 29 февруари грешка. Проблемот се манифестира од 25 јули 2019 година и влијае на системот за проверка на записите на АЦВ во DNS. АЦВ рекорд (RFC-6844, овластување за авторитет за сертификати) му овозможува на сопственикот на доменот експлицитно да дефинира орган за сертификација преку кој може да се генерираат сертификати за наведениот домен. Доколку органот за сертификација не е наведен во записите на АЦВ, тогаш тој е должен да го блокира издавањето на сертификати за овој домен и да го информира сопственикот на доменот за обидите за компромис. Во повеќето случаи, сертификатот се бара веднаш по полагањето на верификацијата на АЦВ, но резултатот од верификацијата се смета за валиден уште 30 дена. Правилата исто така бараат ревалидација најдоцна 8 часа пред да се издаде нов сертификат (т.е., ако поминале 8 часа од последната валидација кога е побаран нов сертификат, потребна е ревалидација).

Грешката се јавува ако барањето за сертификат опфаќа неколку имиња на домени одеднаш, од кои секое бара проверка на записот на АЦВ. Суштината на грешката е што во моментот на повторна проверка, наместо да се валидираат сите домени, повторно е проверен само еден домен од списокот (ако имало N домени во барањето, наместо N различни проверки, еден домен бил проверено N пати). За другите домени втората проверка не е извршена и одлуката е донесена со користење на податоците од првата проверка (односно користени се податоци стари до 30 дена). Како резултат на тоа, во рок од 30 дена од првата проверка, Let's Encrypt може да издаде сертификат дури и ако вредноста на записот на АЦВ се смени и Let's Encrypt беше отстранета од листата на валидни CA.

Засегнатите корисници добија известување преку е-пошта ако информациите за контакт биле пополнети кога го добиле сертификатот. Можете да ги проверите вашите сертификати со преземање листа сериски броеви на отповикани сертификати или со користење онлајн услуга (се наоѓа на IP адресата, блокиран во Руската Федерација од Роскомнадзор). Можете да го дознаете серискиот број на сертификатот за доменот од интерес користејќи ја командата:

openssl s_client -поврзете пример.com:443 -showcerts /dev/null\
| openssl x509 -текст -noout | grep -A 1 Сериски\Број | tr-d:

Извор: opennet.ru