Let's Encrypt é uma autoridade certificadora sem fins lucrativos controlada pela comunidade que fornece certificados gratuitos para todos. sobre a futura revogação de muitos certificados TLS/SSL emitidos anteriormente. Dos 116 milhões de certificados Let's Encrypt atualmente válidos, pouco mais de 3 milhões (2.6%) serão revogados, dos quais aproximadamente 1 milhão são duplicatas vinculadas ao mesmo domínio (o erro afetou principalmente certificados que são atualizados com muita frequência, o que é por que existem tantas duplicatas). O recall está agendado para 4 de março (o horário exato ainda não foi determinado, mas o recall não ocorrerá antes das 3h MSK).
A necessidade de recall se deve à descoberta em 29 de fevereiro . O problema surge desde 25 de julho de 2019 e afeta o sistema de verificação de registros CAA no DNS. Registro CAA (,Autorização da autoridade de certificação) permite que o proprietário do domínio defina explicitamente uma autoridade de certificação por meio da qual os certificados podem ser gerados para um domínio especificado. Se uma CA não estiver listada nos registros CAA, ela deverá bloquear a emissão de certificados para um determinado domínio e informar o proprietário do domínio sobre tentativas de comprometimento. Na maioria dos casos, o certificado é solicitado imediatamente após passar na verificação CAA, mas o resultado da verificação é considerado válido por mais 30 dias. As regras também exigem que a nova verificação seja realizada no máximo 8 horas antes da emissão de um novo certificado (ou seja, se tiverem passado 8 horas desde a última inspeção ao solicitar um novo certificado, é necessária uma nova verificação).
O erro ocorre se a solicitação de certificado abrange vários nomes de domínio de uma só vez, cada um dos quais requer uma verificação de registro CAA. A essência do erro é que no momento da nova verificação, em vez de validar todos os domínios, apenas um domínio da lista foi verificado novamente (se a solicitação tivesse N domínios, em vez de N verificações diferentes, um domínio foi verificado N vezes). Para os demais domínios, não foi realizada uma segunda verificação e os dados da primeira verificação foram utilizados na tomada de decisão (ou seja, foram utilizados dados com até 30 dias). Como resultado, dentro de 30 dias após a primeira verificação, o Let's Encrypt poderia emitir um certificado mesmo se o valor do registro CAA fosse alterado e o Let's Encrypt fosse removido da lista de CAs aceitáveis.
Os usuários afetados são notificados por e-mail se as informações de contato foram preenchidas ao receber o certificado. Você pode verificar seus certificados baixando números de série de certificados revogados ou usando (localizado no endereço IP, na Federação Russa por Roskomnadzor). Você pode descobrir o número de série do certificado do domínio de interesse usando o comando:
openssl s_client -connect exemplo.com:443 -showcerts /dev/nulo\
| openssl x509 -text -noout | grep -A 1 Número de série | tr-d:
Fonte: opennet.ru