Let's Encrypt, een niet-commerciële, door de gemeenschap gecontroleerde CA die gratis certificaten aan iedereen verstrekt, over de aanstaande intrekking van veel eerder uitgegeven TLS/SSL-certificaten. Van de 116 miljoen huidige Let's Encrypt-certificaten zullen iets meer dan 3 miljoen (2.6%) worden ingetrokken, waarvan ongeveer 1 miljoen duplicaten zijn die aan hetzelfde domein zijn gekoppeld (de fout trof vooral zeer vaak bijgewerkte certificaten, daarom zijn er zoveel duplicaten). De terugroepactie staat gepland voor 4 maart (het exacte tijdstip is nog niet bepaald, maar de terugroepactie zal niet eerder plaatsvinden dan 3 uur MSK).
De noodzaak van een terugroepactie is te wijten aan de identificatie op 29 februari . Het probleem manifesteert zich sinds 25 juli 2019 en heeft invloed op het systeem voor het controleren van CAA-records in DNS. CAA-record (, Certificate Authority Authorization) stelt de domeineigenaar in staat om expliciet een certificeringsautoriteit te definiëren waarmee certificaten kunnen worden gegenereerd voor het opgegeven domein. Als de certificeringsinstantie niet wordt vermeld in de CAA-records, moet deze de uitgifte van certificaten voor dit domein blokkeren en de domeineigenaar informeren over pogingen tot compromittering. In de meeste gevallen wordt het certificaat direct na het passeren van de CAA-verificatie aangevraagd, maar het resultaat van de verificatie wordt nog 30 dagen als geldig beschouwd. De regels vereisen ook verlenging uiterlijk 8 uur voordat een nieuw certificaat wordt uitgegeven (d.w.z. als er 8 uur zijn verstreken sinds de laatste validatie toen een nieuw certificaat werd aangevraagd, is een verlenging vereist).
De fout treedt op als de certificaataanvraag betrekking heeft op meerdere domeinnamen tegelijk, die allemaal verificatie van het CAA-record vereisen. De essentie van de fout is dat op het moment van hercontrole, in plaats van alle domeinen te valideren, slechts één domein uit de lijst opnieuw werd gecontroleerd (als er N domeinen in de aanvraag waren, werd in plaats van N verschillende controles één domein N keer gecontroleerd). Voor andere domeinen werd de tweede controle niet uitgevoerd en werd de beslissing genomen op basis van de gegevens van de eerste controle (d.w.z. gegevens tot 30 dagen oud werden gebruikt). Als gevolg hiervan kon Let's Encrypt binnen 30 dagen na de eerste controle een certificaat uitgeven, zelfs als de waarde van het CAA-record was gewijzigd en Let's Encrypt uit de lijst met geldige CA's was verwijderd.
Getroffen gebruikers kregen een e-mailmelding als hun contactgegevens waren ingevuld toen ze het certificaat ontvingen. U kunt uw certificaten controleren door ze te downloaden serienummers van ingetrokken certificaten of door gebruik te maken van (bevindt zich op het IP-adres, in de Russische Federatie door Roskomnadzor). U kunt het serienummer van het certificaat voor het betreffende domein achterhalen met behulp van de opdracht:
openssl s_client -connect voorbeeld.com:443 -showcerts /dev/null\
| openssl x509 -tekst -noout | grep -A 1 Serienummer | tr -d:
Bron: opennet.ru