Let's Encrypt, en icke-kommersiell, gemenskapskontrollerad CA som tillhandahåller certifikat gratis till alla, om den kommande återkallelsen av många tidigare utfärdade TLS/SSL-certifikat. Av de 116 miljoner nuvarande Let's Encrypt-certifikaten kommer drygt 3 miljoner (2.6%) att återkallas, varav cirka 1 miljon är dubbletter knutna till samma domän (felet drabbade främst mycket frekvent uppdaterade certifikat, varför det finns så många dubbletter). Återkallelsen är planerad till den 4 mars (den exakta tiden har ännu inte fastställts, men återkallelsen kommer att göras tidigast kl. 3 MSK).
Behovet av en återkallelse beror på den identifierade den 29 februari . Problemet har visat sig sedan 25 juli 2019 och påverkar systemet för att kontrollera CAA-poster i DNS. CAA rekord (, Certificate Authority Authorization) tillåter domänägaren att uttryckligen definiera en certifikatutfärdare genom vilken certifikat kan genereras för den angivna domänen. Om certifieringsmyndigheten inte finns med i CAA-posterna måste den blockera utfärdandet av certifikat för denna domän och informera domänägaren om kompromissförsök. I de flesta fall begärs certifikatet omedelbart efter godkänd CAA-verifiering, men resultatet av verifieringen anses giltigt i ytterligare 30 dagar. Reglerna kräver också förlängning senast 8 timmar innan ett nytt certifikat utfärdas (dvs. om 8 timmar har gått sedan den senaste valideringen då ett nytt certifikat begärdes krävs en förlängning).
Felet uppstår om certifikatbegäran täcker flera domännamn samtidigt, som vart och ett kräver verifiering av CAA-posten. Kärnan i felet är att vid tidpunkten för omkontroll, istället för att validera alla domäner, kontrollerades endast en domän från listan igen (om det fanns N domäner i begäran, istället för N olika kontroller, var en domän kontrollerat N gånger). För andra domäner utfördes inte den andra kontrollen och beslutet togs med hjälp av data från den första kontrollen (det vill säga data upp till 30 dagar gamla användes). Som ett resultat, inom 30 dagar efter den första kontrollen, kunde Let's Encrypt utfärda ett certifikat även om värdet på CAA-posten ändrades och Let's Encrypt togs bort från listan över giltiga certifikatutfärdare.
Berörda användare fick ett e-postmeddelande om kontaktinformation fylldes i när de fick certifikatet. Du kan kontrollera dina certifikat genom att ladda ner serienummer för återkallade certifikat eller genom att använda (finns på IP-adressen, i Ryska federationen av Roskomnadzor). Du kan ta reda på serienumret på certifikatet för domänen av intresse med hjälp av kommandot:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Serie\Number | tr -d:
Källa: opennet.ru