Hayu Encrypt mangrupikeun otoritas sertipikat nirlaba anu dikawasa ku komunitas anu nyayogikeun sertipikat gratis ka sadayana. ngeunaan panyabutan anu bakal datang tina seueur sertipikat TLS/SSL anu dikaluarkeun sateuacana. Tina 116 juta sertipikat Hayu Encrypt ayeuna valid, saeutik leuwih ti 3 juta (2.6%) bakal dicabut, nu kira 1 juta duplikat dihijikeun ka domain nu sarua (kasalahan utamana kapangaruhan sertipikat nu diropéa pisan sering, nu mangrupa naha aya seueur duplikat). Pangeling-eling éta dijadwalkeun pikeun 4 Maret (waktos anu pasti henteu acan ditangtukeun, tapi pangeling-eling éta moal lumangsung dugi ka 3 am MSK).
Kabutuhan pikeun ngelingan téh alatan kapanggihna on Pébruari 29 . Masalahna parantos muncul ti saprak 25 Juli 2019 sareng mangaruhan sistem pikeun mariksa rékaman CAA dina DNS. Rékam CAA (, Otorisasi Otoritas Sertifikasi) ngamungkinkeun nu boga domain pikeun sacara eksplisit nangtukeun otoritas sertifikasi ngaliwatan nu sertipikat bisa dihasilkeun pikeun domain husus. Lamun CA teu didaptarkeun dina rékaman CAA, éta kudu meungpeuk penerbitan sertipikat pikeun domain dibikeun tur ngawartosan nu boga domain ngeunaan usaha pikeun kompromi. Dina kalolobaan kasus, sertipikat dipénta langsung saatos lulus pamariksaan CAA, tapi hasil pamariksaan dianggap valid pikeun 30 dinten deui. Aturan ogé meryogikeun verifikasi ulang pikeun dilaksanakeun teu langkung lami ti 8 jam sateuacan ngaluarkeun sertipikat énggal (nyaéta, upami 8 jam parantos lulus ti pamariksaan terakhir nalika nyuhunkeun sertipikat énggal, verifikasi ulang diperyogikeun).
Kasalahan lumangsung lamun pamundut sertipikat nyertakeun sababaraha ngaran domain sakaligus, nu masing-masing merlukeun dipariksa catetan CAA. Hakekat kasalahan éta dina waktu mariksa ulang, tinimbang validating sakabéh domain, ngan hiji domain tina daptar ieu ulang dipariksa (lamun pamundut nu boga N domain, tinimbang N cék béda, hiji domain ieu dipariksa N. kali). Pikeun domain sésana, pamariksaan kadua henteu dilaksanakeun sareng data tina pamariksaan kahiji dianggo nalika nyandak kaputusan (nyaéta, data anu umurna dugi ka 30 dinten dianggo). Hasilna, dina 30 poé sanggeus verifikasi munggaran, Hayu urang Encrypt bisa ngaluarkeun sertipikat sanajan nilai catetan CAA dirobah sarta Hayu urang Encrypt dihapus tina daptar CAs ditarima.
Pangguna anu kapangaruhan dibéjaan ku email upami inpormasi kontak dieusi nalika nampi sertipikat. Anjeun tiasa pariksa sertipikat anjeun ku ngundeur angka serial sertipikat dicabut atawa ngagunakeun (aya dina alamat IP, di Féderasi Rusia ku Roskomnadzor). Anjeun tiasa mendakan nomer séri sertipikat pikeun domain anu dipikaresep ku paréntah:
openssl s_client -connect example.com: 443 -showcerts /dev/null\
| openssl x509 -téks -noout | grep -A 1 Serial \ Jumlah | tr-d:
sumber: opennet.ru