Let's Encrypt to kontrolowany przez społeczność urząd certyfikacji non-profit, który zapewnia każdemu bezpłatne certyfikaty. o zbliżającym się unieważnieniu wielu wcześniej wydanych certyfikatów TLS/SSL. Spośród 116 milionów aktualnie obowiązujących certyfikatów Let's Encrypt nieco ponad 3 miliony (2.6%) zostanie unieważnionych, z czego około 1 milion to duplikaty powiązane z tą samą domeną (błąd dotyczył głównie bardzo często aktualizowanych certyfikatów, czyli dlaczego jest tak wiele duplikatów). Wycofanie zaplanowano na 4 marca (dokładna godzina nie została jeszcze ustalona, ale wycofanie nastąpi dopiero o godzinie 3:XNUMX czasu MSK).
Konieczność wycofania wynika z odkrycia z 29 lutego . Problem pojawia się od 25 lipca 2019 roku i dotyczy systemu sprawdzania rekordów CAA w DNS. Rekord CAA (,Autoryzacja urzędu certyfikacji) umożliwia właścicielowi domeny jawne zdefiniowanie urzędu certyfikacji, za pośrednictwem którego można generować certyfikaty dla określonej domeny. Jeśli urząd certyfikacji nie jest wpisany do rejestru CAA, musi zablokować wydawanie certyfikatów dla danej domeny i poinformować właściciela domeny o próbach włamań. W większości przypadków wniosek o wydanie certyfikatu jest wymagany natychmiast po przejściu kontroli CAA, ale wynik kontroli uważa się za ważny przez kolejne 30 dni. Przepisy wymagają również, aby ponowna weryfikacja została przeprowadzona nie później niż 8 godzin przed wydaniem nowego certyfikatu (tzn. jeśli od ostatniej kontroli podczas wnioskowania o nowy certyfikat minęło 8 godzin, wymagana jest ponowna weryfikacja).
Błąd występuje, jeśli żądanie certyfikatu obejmuje jednocześnie kilka nazw domen, z których każda wymaga sprawdzenia rekordu CAA. Istota błędu polega na tym, że w momencie ponownego sprawdzenia zamiast walidacji wszystkich domen została ponownie sprawdzona tylko jedna domena z listy (jeżeli żądanie miało N domen, zamiast N różnych sprawdzeń, sprawdzono jedną domenę N czasy). W przypadku pozostałych domen nie przeprowadzono drugiej kontroli, a przy podejmowaniu decyzji wykorzystano dane z pierwszej kontroli (tj. dane sprzed maksymalnie 30 dni). Dzięki temu w ciągu 30 dni od pierwszej weryfikacji Let's Encrypt mógł wystawić certyfikat, nawet jeśli wartość rekordu CAA uległa zmianie i Let's Encrypt został usunięty z listy akceptowalnych urzędów certyfikacji.
Użytkownicy, których to dotyczy, zostaną powiadomieni e-mailem, jeśli w momencie otrzymania certyfikatu wprowadzono dane kontaktowe. Możesz sprawdzić swoje certyfikaty, pobierając je numery seryjne unieważnionych certyfikatów lub za pomocą (znajduje się na adresie IP, w Federacji Rosyjskiej przez Roskomnadzor). Numer seryjny certyfikatu dla interesującej domeny możesz sprawdzić za pomocą polecenia:
openssl s_client -connect przykład.com:443 -showcerts /dev/null\
| openssl x509 -tekst -noout | grep -A 1 Numer seryjny\ | tr-d:
Źródło: opennet.ru