Let's Encrypt hija awtorità taċ-ċertifikati mingħajr qligħ ikkontrollata mill-komunità li tipprovdi ċertifikati b'xejn lil kulħadd. dwar ir-revoka li ġejja ta' ħafna ċertifikati TLS/SSL maħruġa qabel. Mill-116-il miljun ċertifikat Let's Encrypt validi bħalissa, ftit aktar minn 3 miljuni (2.6%) se jiġu revokati, li minnhom madwar 1 miljun huma duplikati marbuta mal-istess dominju (l-iżball affettwa prinċipalment ċertifikati li jiġu aġġornati spiss ħafna, li huwa għaliex hemm tant duplikati). L-irtirar huwa skedat għall-4 ta’ Marzu (il-ħin eżatt għadu ma ġiex iddeterminat, iżda l-irtirar mhux se jseħħ qabel it-3 a.m. MSK).
Il-ħtieġa għal sejħa lura hija dovuta għall-iskoperta fid-29 ta 'Frar . Il-problema ilha tidher mill-25 ta’ Lulju 2019 u taffettwa s-sistema għall-iċċekkjar tar-rekords tas-CAA fid-DNS. Rekord tas-CAA (,Awtorizzazzjoni ta' Awtorità taċ-Ċertifikati) tippermetti lis-sid tad-dominju jiddefinixxi b'mod espliċitu awtorità ta' ċertifikazzjoni li permezz tagħha jistgħu jiġu ġġenerati ċertifikati għal dominju speċifikat. Jekk CA ma tkunx elenkata fir-rekords tas-CAA, għandha timblokka l-ħruġ ta' ċertifikati għal dominju partikolari u tinforma lis-sid tad-dominju dwar tentattivi ta' kompromess. Fil-biċċa l-kbira tal-każijiet, iċ-ċertifikat jintalab immedjatament wara li jgħaddi l-kontroll tas-CAA, iżda r-riżultat tal-kontroll jitqies validu għal 30 jum ieħor. Ir-regoli jeħtieġu wkoll li l-verifika mill-ġdid titwettaq mhux aktar tard minn 8 sigħat qabel il-ħruġ ta’ ċertifikat ġdid (jiġifieri, jekk għaddew 8 sigħat mill-aħħar spezzjoni meta tintalab ċertifikat ġdid, hija meħtieġa verifika mill-ġdid).
L-iżball iseħħ jekk it-talba taċ-ċertifikat tkopri diversi ismijiet tad-dominju f'daqqa, li kull wieħed minnhom jeħtieġ kontroll tar-rekords tas-CAA. L-essenza tal-iżball hija li fil-ħin tal-iċċekkjar mill-ġdid, minflok il-validazzjoni tad-dominji kollha, dominju wieħed biss mil-lista ġie ċċekkjat mill-ġdid (jekk it-talba kellha N dominji, minflok N kontrolli differenti, dominju wieħed kien iċċekkjat N drabi). Għall-bqija tad-dominji, it-tieni verifika ma twettqitx u d-dejta mill-ewwel verifika ntużat meta ttieħdet deċiżjoni (jiġifieri, intużat dejta li kellha sa 30 jum). Bħala riżultat, fi żmien 30 jum wara l-ewwel verifika, Let's Encrypt jista 'joħroġ ċertifikat anke jekk il-valur tar-rekord CAA inbidel u Let's Encrypt tneħħa mil-lista ta' CAs aċċettabbli.
L-utenti affettwati jiġu notifikati bl-email jekk l-informazzjoni ta’ kuntatt tkun imtleta meta jirċievu ċ-ċertifikat. Tista' tiċċekkja ċ-ċertifikati tiegħek billi tniżżel numri tas-serje ta’ ċertifikati revokati jew bl-użu (li jinsab fuq l-indirizz IP, fil-Federazzjoni Russa minn Roskomnadzor). Tista' ssib in-numru tas-serje taċ-ċertifikat għad-dominju ta' interess billi tuża l-kmand:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -test -noout | grep -A 1 Serje\ Numru | tr -d :
Sors: opennet.ru