Let's Encrypt هڪ ڪميونٽي جي ڪنٽرول ٿيل غير منافع بخش سرٽيفڪيٽ اٿارٽي آهي جيڪا هر ڪنهن کي مفت سرٽيفڪيٽ فراهم ڪري ٿي. ڪيترن ئي اڳ جاري ڪيل TLS/SSL سرٽيفڪيٽن جي ايندڙ منسوخي بابت. 116 ملين في الحال صحيح Let's Encrypt سرٽيفڪيٽن مان، 3 ملين کان ٿورو وڌيڪ (2.6٪) رد ڪيا ويندا، جن مان لڳ ڀڳ 1 ملين نقل آهن ساڳئي ڊومين سان ڳنڍيل آهن (غلطي خاص طور تي متاثر ٿيل سرٽيفڪيٽ جيڪي گهڻو ڪري اپڊيٽ ڪيا ويندا آهن، جيڪو آهي ڇو ته تمام گهڻا نقل آهن). يادگيري 4 مارچ تي مقرر ڪئي وئي آهي (صحيح وقت اڃا تائين مقرر نه ڪيو ويو آهي، پر واپسي 3 ايم ايم ايس جي تائين نه ٿيندي).
يادگيري جي ضرورت 29 فيبروري تي دريافت جي سبب آهي . مسئلو 25 جولاءِ 2019 کان ظاهر ٿي رهيو آهي ۽ DNS ۾ CAA ريڪارڊ چيڪ ڪرڻ جي سسٽم کي متاثر ڪري ٿو. CAA رڪارڊ (,سرٽيفڪيٽ اٿارٽي اٿارائيزيشن) ڊومين جي مالڪ کي اجازت ڏئي ٿي ته واضح طور تي هڪ سرٽيفڪيشن اٿارٽي جي وضاحت ڪري، جنهن ذريعي سرٽيفڪيٽ ٺاهي سگھجن ٿا مخصوص ڊومين لاءِ. جيڪڏهن هڪ CA CAA رڪارڊ ۾ درج نه آهي، اهو لازمي طور تي ڏنل ڊومين لاءِ سرٽيفڪيٽ جاري ڪرڻ کي بلاڪ ڪرڻ گهرجي ۽ ڊومين مالڪ کي سمجهوتي ڪرڻ جي ڪوششن بابت آگاهي ڏيڻ گهرجي. اڪثر ڪيسن ۾، سرٽيفڪيٽ CAA چيڪ پاس ڪرڻ کان پوء فوري طور تي درخواست ڪئي وئي آهي، پر چيڪ جي نتيجي کي 30 ڏينهن تائين صحيح سمجهيو ويندو آهي. ضابطن ۾ پڻ ضرورت آهي ته ٻيهر تصديق ڪئي وڃي 8 ڪلاڪ کان پوءِ نئين سرٽيفڪيٽ جاري ڪرڻ کان اڳ (يعني جيڪڏهن 8 ڪلاڪ گذري ويا آهن آخري تصديق کان پوءِ جڏهن نئين سرٽيفڪيٽ جي درخواست ڪئي وڃي، ٻيهر تصديق گهربل آهي).
غلطي ٿيندي آهي جيڪڏهن سرٽيفڪيٽ جي درخواست هڪ ئي وقت ڪيترن ئي ڊومين جا نالا شامل ڪري ٿي، جن مان هر هڪ CAA رڪارڊ چيڪ جي ضرورت آهي. غلطي جو خلاصو اهو آهي ته ٻيهر چيڪ ڪرڻ وقت، سڀني ڊومينز جي تصديق ڪرڻ بدران، فهرست مان صرف هڪ ڊومين کي ٻيهر چيڪ ڪيو ويو (جيڪڏهن درخواست ۾ N ڊومينز هئا، N مختلف چيڪن جي بدران، هڪ ڊومين چيڪ ڪيو ويو N. ڀيرا). باقي ڊومينز لاءِ، ٻيو چيڪ نه ڪيو ويو ۽ پهرين چيڪ مان ڊيٽا استعمال ڪئي وئي جڏهن فيصلو ڪيو ويو (يعني ڊيٽا جيڪا 30 ڏينهن جي پراڻي هئي استعمال ڪئي وئي). نتيجي طور، پهرين تصديق کان پوءِ 30 ڏينهن اندر، Let's Encrypt هڪ سرٽيفڪيٽ جاري ڪري سگهي ٿي جيتوڻيڪ CAA رڪارڊ جي قدر تبديل ٿي وئي هئي ۽ Let's Encrypt کي قابل قبول CAs جي فهرست مان خارج ڪيو ويو هو.
متاثر ٿيل صارفين کي اي ميل ذريعي مطلع ڪيو ويو آهي جيڪڏهن رابطي جي معلومات ڀري وئي هئي جڏهن سرٽيفڪيٽ حاصل ڪرڻ وقت. توهان ڊائون لوڊ ڪندي پنهنجا سرٽيفڪيٽ چيڪ ڪري سگهو ٿا منسوخ ٿيل سرٽيفڪيٽن جا سيريل نمبر يا استعمال ڪندي (IP پتي تي واقع آهي، روسي فيڊريشن ۾ Roskomnadzor طرفان). توھان ڳولي سگھوٿا سرٽيفڪيٽ جو سيريل نمبر دلچسپي جي ڊومين لاءِ حڪم استعمال ڪندي:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 سيريل نمبر | tr -d :
جو ذريعو: opennet.ru