Лет'с Енцрипт је непрофитни ауторитет за издавање сертификата који контролише заједница и који свима обезбеђује бесплатне сертификате. о предстојећем опозиву многих раније издатих ТЛС/ССЛ сертификата. Од 116 милиона тренутно важећих Лет'с Енцрипт сертификата, нешто више од 3 милиона (2.6%) ће бити опозвано, од чега је око милион дупликата везаних за исти домен (грешка је углавном утицала на сертификате који се веома често ажурирају, тј. зашто има толико дупликата). Опозив је заказан за 1. март (тачно време још није утврђено, али до опозива неће доћи до 4 МСК).
Потреба за опозивом је због открића 29. фебруара . Проблем се јавља од 25. јула 2019. године и утиче на систем за проверу ЦАА записа у ДНС-у. ЦАА запис (,Овлашћење ауторитета за сертификацију) омогућава власнику домена да експлицитно дефинише ауторитет за сертификацију преко којег се могу генерисати сертификати за одређени домен. Ако ЦА није наведен у ЦАА записима, мора блокирати издавање сертификата за дати домен и обавестити власника домена о покушајима компромиса. У већини случајева, сертификат се тражи одмах након проласка ЦАА провере, али се резултат провере сматра валидним још 30 дана. Правила такође захтевају да се поновна верификација изврши најкасније 8 сати пре издавања новог сертификата (тј., ако је прошло 8 сати од последње провере када се захтева нови сертификат, потребна је поновна верификација).
Грешка се јавља ако захтев за сертификат покрива неколико имена домена одједном, од којих свако захтева проверу ЦАА записа. Суштина грешке је у томе што је у тренутку поновне провере, уместо валидације свих домена, поново проверен само један домен са листе (ако је захтев имао Н домена, уместо Н различитих провера, провераван је један домен Н пута). За преостале домене није извршена друга провера већ су при доношењу одлуке коришћени подаци из прве провере (тј. коришћени су подаци стари до 30 дана). Као резултат тога, у року од 30 дана након прве верификације, Лет'с Енцрипт би могао да изда сертификат чак и ако је вредност ЦАА записа промењена и Лет'с Енцрипт је уклоњен са листе прихватљивих ЦА.
Погођени корисници добијају обавештење путем е-поште ако су контакт информације попуњене приликом пријема сертификата. Своје сертификате можете проверити преузимањем серијске бројеве опозваних сертификата или коришћење (налази се на ИП адреси, у Руској Федерацији од стране Роскомнадзора). Серијски број сертификата за домен од интереса можете сазнати помоћу команде:
опенссл с_цлиент -цоннецт екампле.цом:443 -сховцертс /дев/нулл\
| опенссл к509 -тект -нооут | греп -А 1 Серијски\ Број | тр -д :
Извор: опеннет.ру