Let's Encrypt je nezisková certifikačná autorita riadená komunitou, ktorá poskytuje bezplatné certifikáty každému. o pripravovanom zrušení mnohých predtým vydaných certifikátov TLS/SSL. Zo 116 miliónov aktuálne platných certifikátov Let's Encrypt bude zrušených o niečo viac ako 3 milióny (2.6 %), z toho približne 1 milión sú duplikáty viazané na rovnakú doménu (chyba sa týkala najmä certifikátov, ktoré sa aktualizujú veľmi často, tj. prečo existuje toľko duplikátov). Zvolávacia akcia je naplánovaná na 4. marca (presný čas ešte nie je určený, ale k zvolávaniu dôjde až o 3. hodine ráno MSK).
Potreba odvolania je spôsobená objavom 29. februára . Problém sa objavuje od 25. júla 2019 a týka sa systému kontroly CAA záznamov v DNS. Záznam CAA (,Autorizácia certifikačnej autority) umožňuje vlastníkovi domény explicitne definovať certifikačnú autoritu, prostredníctvom ktorej je možné generovať certifikáty pre konkrétnu doménu. Ak CA nie je uvedená v CAA záznamoch, musí zablokovať vydávanie certifikátov pre danú doménu a informovať vlastníka domény o pokusoch o kompromitáciu. Vo väčšine prípadov sa certifikát žiada ihneď po absolvovaní kontroly CAA, ale výsledok kontroly sa považuje za platný ešte 30 dní. Pravidlá tiež vyžadujú vykonať opätovné overenie najneskôr 8 hodín pred vydaním nového certifikátu (t.j. ak od poslednej kontroly pri žiadosti o nový certifikát uplynulo 8 hodín, je potrebné opätovné overenie).
Chyba nastane, ak žiadosť o certifikát pokrýva viacero názvov domén naraz, pričom každý z nich vyžaduje kontrolu záznamu CAA. Podstata chyby je v tom, že v čase opätovnej kontroly bola namiesto validácie všetkých domén prekontrolovaná iba jedna doména zo zoznamu (ak mala požiadavka N domén, namiesto N rôznych kontrol bola skontrolovaná jedna doména N krát). Pri zvyšných doménach sa druhá kontrola nevykonala a pri rozhodovaní sa použili údaje z prvej kontroly (t. j. použili sa údaje staré do 30 dní). Výsledkom bolo, že do 30 dní po prvom overení mohla Let's Encrypt vydať certifikát aj v prípade, že bola zmenená hodnota CAA záznamu a Let's Encrypt bola odstránená zo zoznamu prijateľných CA.
Dotknutí používatelia sú upozornení e-mailom, ak boli pri preberaní certifikátu vyplnené kontaktné údaje. Svoje certifikáty si môžete skontrolovať stiahnutím sériové čísla zrušených certifikátov alebo používania (nachádza sa na adrese IP, v Ruskej federácii podľa Roskomnadzor). Sériové číslo certifikátu pre doménu záujmu zistíte pomocou príkazu:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 sériové\ číslo | tr -d :
Zdroj: opennet.ru