Let's Encrypt este o autoritate de certificare non-profit controlată de comunitate care oferă certificate gratuite tuturor. despre revocarea viitoare a multor certificate TLS/SSL emise anterior. Din cele 116 milioane de certificate Let's Encrypt valabile în prezent, puțin mai mult de 3 milioane (2.6%) vor fi revocate, dintre care aproximativ 1 milion sunt duplicate legate de același domeniu (eroarea a afectat în principal certificatele care sunt actualizate foarte frecvent, ceea ce este de ce sunt atât de multe duplicate). Retragerea este programată pentru 4 martie (ora exactă nu a fost încă determinată, dar retragerea nu va avea loc până la ora 3 a.m. MSK).
Necesitatea unei retrageri se datorează descoperirii din 29 februarie . Problema apare din 25 iulie 2019 și afectează sistemul de verificare a înregistrărilor CAA în DNS. Record CAA (,Certificate Authority Authorization) permite proprietarului domeniului să definească în mod explicit o autoritate de certificare prin care pot fi generate certificate pentru un anumit domeniu. Dacă o CA nu este listată în înregistrările CAA, aceasta trebuie să blocheze emiterea de certificate pentru un anumit domeniu și să informeze proprietarul domeniului despre încercările de compromis. În cele mai multe cazuri, certificatul este solicitat imediat după trecerea verificării CAA, dar rezultatul verificării este considerat valabil pentru încă 30 de zile. Regulile impun, de asemenea, ca reverificarea să fie efectuată cu cel mult 8 ore înainte de emiterea unui nou certificat (adică, dacă au trecut 8 ore de la ultima inspecție la solicitarea unui nou certificat, este necesară o reverificare).
Eroarea apare dacă cererea de certificat acoperă mai multe nume de domenii simultan, fiecare dintre acestea necesită o verificare a înregistrării CAA. Esența erorii constă în faptul că în momentul reverificării, în loc să se valideze toate domeniile, a fost verificat din nou un singur domeniu din listă (dacă cererea avea N domenii, în loc de N verificări diferite, un domeniu a fost verificat N ori). Pentru domeniile rămase, o a doua verificare nu a fost efectuată și datele de la prima verificare au fost utilizate la luarea unei decizii (adică au fost utilizate date care aveau o vechime de până la 30 de zile). Drept urmare, în termen de 30 de zile de la prima verificare, Let's Encrypt ar putea emite un certificat chiar dacă valoarea înregistrării CAA a fost modificată și Let's Encrypt a fost eliminată din lista CA acceptabile.
Utilizatorii afectați sunt notificați prin e-mail dacă informațiile de contact au fost completate la primirea certificatului. Puteți verifica certificatele prin descărcare numerele de serie ale certificatelor revocate sau de utilizare (situat pe adresa IP, în Federația Rusă de către Roskomnadzor). Puteți afla numărul de serie al certificatului pentru domeniul de interes folosind comanda:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Număr\ de serie | tr -d :
Sursa: opennet.ru