Let's Encrypt ialah pihak berkuasa sijil bukan untung dikawal komuniti yang menyediakan sijil percuma kepada semua orang. mengenai pembatalan akan datang banyak sijil TLS/SSL yang dikeluarkan sebelum ini. Daripada 116 juta sijil Let's Encrypt yang sah pada masa ini, lebih sedikit daripada 3 juta (2.6%) akan dibatalkan, yang mana kira-kira 1 juta adalah pendua yang terikat pada domain yang sama (ralat terutamanya menjejaskan sijil yang dikemas kini dengan kerap, iaitu mengapa terdapat begitu banyak pendua). Panggilan semula dijadualkan pada 4 Mac (masa yang tepat masih belum ditentukan, tetapi panggilan balik tidak akan berlaku sehingga 3 pagi MSK).
Keperluan untuk memanggil semula adalah disebabkan penemuan pada 29 Februari . Masalah itu telah muncul sejak 25 Julai 2019 dan menjejaskan sistem untuk menyemak rekod CAA dalam DNS. Rekod CAA (,Certificate Authority Authorization) membenarkan pemilik domain untuk mentakrifkan secara eksplisit pihak berkuasa pensijilan yang melaluinya sijil boleh dijana untuk domain tertentu. Jika CA tidak disenaraikan dalam rekod CAA, ia mesti menyekat pengeluaran sijil untuk domain tertentu dan memaklumkan pemilik domain tentang percubaan untuk berkompromi. Dalam kebanyakan kes, sijil diminta serta-merta selepas lulus semakan CAA, tetapi keputusan semakan itu dianggap sah untuk 30 hari lagi. Peraturan juga memerlukan pengesahan semula dilakukan tidak lewat daripada 8 jam sebelum pengeluaran sijil baharu (iaitu, jika 8 jam telah berlalu sejak pemeriksaan terakhir apabila meminta sijil baharu, pengesahan semula diperlukan).
Ralat berlaku jika permintaan sijil meliputi beberapa nama domain sekaligus, setiap satu memerlukan semakan rekod CAA. Intipati ralat adalah bahawa pada masa menyemak semula, bukannya mengesahkan semua domain, hanya satu domain daripada senarai disemak semula (jika permintaan mempunyai N domain, bukannya N semakan berbeza, satu domain telah diperiksa N kali). Untuk domain yang selebihnya, semakan kedua tidak dilakukan dan data daripada semakan pertama telah digunakan semasa membuat keputusan (iaitu, data yang berumur sehingga 30 hari telah digunakan). Akibatnya, dalam masa 30 hari selepas pengesahan pertama, Let's Encrypt boleh mengeluarkan sijil walaupun nilai rekod CAA telah ditukar dan Let's Encrypt telah dialih keluar daripada senarai CA yang boleh diterima.
Pengguna yang terjejas dimaklumkan melalui e-mel jika maklumat hubungan telah diisi semasa menerima sijil. Anda boleh menyemak sijil anda dengan memuat turun nombor siri sijil yang dibatalkan atau menggunakan (terletak pada alamat IP, di Persekutuan Rusia oleh Roskomnadzor). Anda boleh mengetahui nombor siri sijil untuk domain yang diminati menggunakan arahan:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -teks -noout | grep -A 1 Siri\ Nombor | tr -d :
Sumber: opennet.ru