Let's Encrypt er en fellesskapskontrollert non-profit sertifikatmyndighet som gir gratis sertifikater til alle. om den kommende tilbakekallingen av mange tidligere utstedte TLS/SSL-sertifikater. Av de 116 millioner for øyeblikket gyldige Let's Encrypt-sertifikatene vil litt mer enn 3 millioner (2.6%) bli tilbakekalt, hvorav ca. 1 million er duplikater knyttet til samme domene (feilen påvirket hovedsakelig sertifikater som oppdateres svært hyppig, som er hvorfor det er så mange duplikater). Tilbakekallingen er planlagt til 4. mars (det nøyaktige tidspunktet er ennå ikke bestemt, men tilbakekallingen vil ikke skje før kl. 3 MSK).
Behovet for en tilbakekalling skyldes funnet 29. februar . Problemet har dukket opp siden 25. juli 2019 og påvirker systemet for å sjekke CAA-poster i DNS. CAA Record (,Certificate Authority Authorization) lar domeneeieren eksplisitt definere en sertifiseringsinstans som sertifikater kan genereres gjennom for et spesifisert domene. Hvis en CA ikke er oppført i CAA-postene, må den blokkere utstedelsen av sertifikater for et gitt domene og informere domeneeieren om forsøk på kompromittering. I de fleste tilfeller forespørres sertifikatet umiddelbart etter bestått CAA-sjekk, men resultatet av kontrollen anses som gyldig i ytterligere 30 dager. Reglene krever også at reverifisering skal utføres senest 8 timer før utstedelse av et nytt sertifikat (dvs. hvis det har gått 8 timer siden siste inspeksjon ved forespørsel om nytt sertifikat, kreves en ny verifisering).
Feilen oppstår hvis sertifikatforespørselen dekker flere domenenavn samtidig, som hver krever en CAA-postsjekk. Essensen av feilen er at på tidspunktet for ny kontroll, i stedet for å validere alle domener, ble bare ett domene fra listen sjekket på nytt (hvis forespørselen hadde N domener, i stedet for N forskjellige kontroller, ble ett domene sjekket N ganger). For de resterende domenene ble det ikke utført en andre sjekk, og dataene fra den første kontrollen ble brukt når en beslutning ble tatt (dvs. data som var opptil 30 dager gamle ble brukt). Som et resultat, innen 30 dager etter den første verifiseringen, kunne Let's Encrypt utstede et sertifikat selv om verdien av CAA-posten ble endret og Let's Encrypt ble fjernet fra listen over akseptable CAer.
Berørte brukere varsles på e-post dersom kontaktinformasjon ble fylt ut ved mottak av sertifikatet. Du kan sjekke sertifikatene dine ved å laste ned serienumre på tilbakekalte sertifikater eller bruk (plassert på IP-adressen, i den russiske føderasjonen av Roskomnadzor). Du kan finne ut serienummeret til sertifikatet for domenet av interesse ved å bruke kommandoen:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -tekst -noout | grep -A 1 Serie\-nummer | tr -d:
Kilde: opennet.ru