Let's Encrypt është një autoritet certifikimi jofitimprurës i kontrolluar nga komuniteti që ofron certifikata falas për të gjithë. në lidhje me revokimin e ardhshëm të shumë certifikatave TLS/SSL të lëshuara më parë. Nga 116 milionë certifikata të vlefshme aktualisht Let's Encrypt, pak më shumë se 3 milionë (2.6%) do të revokohen, nga të cilat afërsisht 1 milionë janë dublikatë të lidhura me të njëjtin domen (gabimi preku kryesisht certifikatat që përditësohen shumë shpesh, që është pse ka kaq shumë dublikatë). Tërheqja është planifikuar për 4 mars (koha e saktë nuk është përcaktuar ende, por tërheqja nuk do të ndodhë deri në orën 3 të mëngjesit të MSK).
Nevoja për një tërheqje është për shkak të zbulimit më 29 shkurt . Problemi është shfaqur që nga 25 korriku 2019 dhe prek sistemin e kontrollit të të dhënave të AAC në DNS. Regjistrimi i AAC-së (,Autorizimi i Autoritetit të Certifikatës) lejon zotëruesin e domenit të përcaktojë në mënyrë eksplicite një autoritet certifikimi nëpërmjet të cilit mund të gjenerohen certifikata për një domen të caktuar. Nëse një CA nuk është e listuar në të dhënat e AAC-së, ajo duhet të bllokojë lëshimin e certifikatave për një domen të caktuar dhe të informojë pronarin e domenit për përpjekjet për kompromis. Në shumicën e rasteve, certifikata kërkohet menjëherë pas kalimit të kontrollit të AAC-së, por rezultati i kontrollit konsiderohet i vlefshëm edhe për 30 ditë të tjera. Rregullat gjithashtu kërkojnë që riverifikimi të kryhet jo më vonë se 8 orë përpara lëshimit të një certifikate të re (d.m.th., nëse kanë kaluar 8 orë nga inspektimi i fundit kur kërkohet një certifikatë e re, kërkohet një riverifikim).
Gabimi ndodh nëse kërkesa për certifikatë mbulon disa emra domenesh në të njëjtën kohë, secili prej të cilëve kërkon një kontroll të regjistrimit të AAC-së. Thelbi i gabimit është se në momentin e ri-kontrollit, në vend që të vërtetohen të gjitha domenet, vetëm një domen nga lista është ri-kontrolluar (nëse kërkesa kishte N domene, në vend të N kontrolleve të ndryshme, një domen u kontrollua N herë). Për domenet e mbetura, një kontroll i dytë nuk u krye dhe të dhënat nga kontrolli i parë u përdorën gjatë marrjes së një vendimi (d.m.th., u përdorën të dhëna që ishin deri në 30 ditë të vjetra). Si rezultat, brenda 30 ditëve pas verifikimit të parë, Let's Encrypt mund të lëshojë një certifikatë edhe nëse vlera e regjistrimit të AAC-së është ndryshuar dhe Let's Encrypt hiqet nga lista e CA-ve të pranueshme.
Përdoruesit e prekur njoftohen me email nëse informacioni i kontaktit është plotësuar gjatë marrjes së certifikatës. Ju mund të kontrolloni certifikatat tuaja duke shkarkuar numrat serial të certifikatave të revokuara ose duke përdorur (ndodhet në adresën IP, në Federatën Ruse nga Roskomnadzor). Ju mund të gjeni numrin serial të certifikatës për domenin e interesit duke përdorur komandën:
openssl s_client -lidh shembull.com:443 -showcerts /dev/null\
| openssl x509 -tekst -noout | grep -A 1 Serial\ Numri | tr-d:
Burimi: opennet.ru