Let's Encrypt प्रमाणपत्रे मोठ्या प्रमाणात रद्द करणे

लेट्स एनक्रिप्ट हा समुदाय-नियंत्रित ना-नफा प्रमाणपत्र प्राधिकरण आहे जो प्रत्येकाला विनामूल्य प्रमाणपत्रे प्रदान करतो. चेतावणी दिली अनेक पूर्वी जारी केलेल्या TLS/SSL प्रमाणपत्रांच्या आगामी निरस्तीकरणाबद्दल. 116 दशलक्ष सध्या वैध Let's Encrypt प्रमाणपत्रांपैकी, 3 दशलक्ष (2.6%) पेक्षा थोडे अधिक रद्द केले जातील, त्यापैकी अंदाजे 1 दशलक्ष समान डोमेनशी जोडलेले डुप्लिकेट आहेत (त्रुटीने मुख्यतः प्रमाणपत्रांवर परिणाम केला आहे जे वारंवार अपडेट केले जातात, जे इतके डुप्लिकेट का आहेत). रिकॉल 4 मार्च रोजी नियोजित आहे (अचूक वेळ अद्याप निश्चित केलेली नाही, परंतु MSK पहाटे 3 वाजेपर्यंत रिकॉल होणार नाही).

29 फेब्रुवारी रोजी झालेल्या शोधामुळे परत बोलावण्याची गरज निर्माण झाली आहे चूक. ही समस्या 25 जुलै 2019 पासून दिसून येत आहे आणि DNS मधील CAA रेकॉर्ड तपासण्याच्या प्रणालीवर परिणाम करते. CAA रेकॉर्ड (आरएफसी -6844,सर्टिफिकेट ऑथॉरिटी ऑथोरायझेशन) डोमेन मालकाला एक प्रमाणन प्राधिकरण स्पष्टपणे परिभाषित करण्यास अनुमती देते ज्याद्वारे निर्दिष्ट डोमेनसाठी प्रमाणपत्रे व्युत्पन्न केली जाऊ शकतात. सीएए रेकॉर्डमध्ये CA सूचीबद्ध नसल्यास, त्याने दिलेल्या डोमेनसाठी प्रमाणपत्रे जारी करणे अवरोधित करणे आणि तडजोड करण्याच्या प्रयत्नांबद्दल डोमेन मालकास सूचित करणे आवश्यक आहे. बहुतेक प्रकरणांमध्ये, CAA चेक पास केल्यानंतर लगेच प्रमाणपत्राची विनंती केली जाते, परंतु चेकचा निकाल आणखी 30 दिवसांसाठी वैध मानला जातो. नियमानुसार नवीन प्रमाणपत्र जारी करण्यापूर्वी 8 तासांपूर्वी पुन्हा पडताळणी करणे आवश्यक आहे (म्हणजे, नवीन प्रमाणपत्राची विनंती करताना शेवटच्या तपासणीनंतर 8 तास उलटून गेले असल्यास, पुन्हा पडताळणी आवश्यक आहे).

प्रमाणपत्र विनंतीमध्ये एकाच वेळी अनेक डोमेन नावे समाविष्ट असल्यास त्रुटी उद्भवते, ज्यापैकी प्रत्येकाला CAA रेकॉर्ड तपासणी आवश्यक असते. त्रुटीचा सार असा आहे की पुन्हा तपासणीच्या वेळी, सर्व डोमेन प्रमाणित करण्याऐवजी, सूचीतील फक्त एक डोमेन पुन्हा तपासले गेले (जर विनंतीमध्ये N डोमेन असतील तर, N भिन्न तपासण्यांऐवजी, एक डोमेन N तपासले गेले. वेळा). उर्वरित डोमेनसाठी, दुसरी तपासणी केली गेली नाही आणि निर्णय घेताना पहिल्या चेकमधील डेटा वापरला गेला (म्हणजे 30 दिवसांपर्यंतचा डेटा वापरला गेला). परिणामी, पहिल्या पडताळणीनंतर ३० दिवसांच्या आत, CAA रेकॉर्डचे मूल्य बदलले असले आणि Let's Encrypt स्वीकार्य CA च्या सूचीमधून काढून टाकले गेले असले तरीही, Let's Encrypt प्रमाणपत्र जारी करू शकते.

प्रमाणपत्र प्राप्त करताना संपर्क माहिती भरली असल्यास प्रभावित वापरकर्त्यांना ईमेलद्वारे सूचित केले जाते. तुम्ही तुमची प्रमाणपत्रे डाउनलोड करून तपासू शकता यादी रद्द केलेल्या प्रमाणपत्रांचे अनुक्रमांक किंवा वापरणे ऑनलाइन सेवा (IP पत्त्यावर स्थित, अवरोधित Roskomnadzor द्वारे रशियन फेडरेशन मध्ये). तुम्ही कमांड वापरून स्वारस्याच्या डोमेनसाठी प्रमाणपत्राचा अनुक्रमांक शोधू शकता:

openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 अनुक्रमांक | tr -d :

स्त्रोत: opennet.ru