Let's Encrypt ni mamlaka ya cheti inayodhibitiwa na jumuiya, isiyo ya faida ambayo hutoa vyeti vya bila malipo kwa kila mtu. kuhusu ubatilishaji ujao wa vyeti vingi vya TLS/SSL vilivyotolewa awali. Kati ya vyeti milioni 116 halali kwa sasa vya Let's Encrypt, zaidi ya milioni 3 (2.6%) vitabatilishwa, ambapo takriban milioni 1 ni nakala zilizounganishwa kwenye kikoa kimoja (hitilafu huathiri zaidi vyeti vinavyosasishwa mara kwa mara, ambayo ni kwa nini kuna nakala nyingi). Urejeshaji umepangwa Machi 4 (wakati halisi bado haujajulikana, lakini urejesho hautatokea hadi 3 asubuhi MSK).
Haja ya kurejelewa ni kwa sababu ya ugunduzi mnamo Februari 29 . Tatizo limekuwa likitokea tangu tarehe 25 Julai 2019 na linaathiri mfumo wa kukagua rekodi za CAA katika DNS. Rekodi ya CAA (,Uidhinishaji wa Mamlaka ya Cheti) huruhusu mmiliki wa kikoa kufafanua kwa uwazi mamlaka ya uthibitishaji ambapo vyeti vinaweza kutolewa kwa kikoa mahususi. Ikiwa CA haijaorodheshwa katika rekodi za CAA, ni lazima izuie utoaji wa vyeti kwa kikoa fulani na kumjulisha mwenye kikoa kuhusu majaribio ya kuafikiana. Katika hali nyingi, cheti huombwa mara baada ya kupitisha hundi ya CAA, lakini matokeo ya hundi yanachukuliwa kuwa halali kwa siku 30 nyingine. Sheria pia zinahitaji uhakikisho upya ufanyike kabla ya saa 8 kabla ya utoaji wa cheti kipya (yaani, ikiwa saa 8 zimepita tangu ukaguzi wa mwisho wakati wa kuomba cheti kipya, uthibitishaji upya unahitajika).
Hitilafu hutokea ikiwa ombi la cheti linashughulikia majina kadhaa ya kikoa mara moja, ambayo kila moja inahitaji ukaguzi wa rekodi ya CAA. Kiini cha kosa ni kwamba wakati wa kukagua tena, badala ya kuhalalisha vikoa vyote, kikoa kimoja tu kutoka kwenye orodha kiliangaliwa tena (ikiwa ombi lilikuwa na vikoa vya N, badala ya ukaguzi tofauti wa N, kikoa kimoja kiliangaliwa N. nyakati). Kwa vikoa vilivyobaki, ukaguzi wa pili haukufanywa na data kutoka kwa hundi ya kwanza ilitumiwa wakati wa kufanya uamuzi (yaani, data ambayo ilikuwa na umri wa hadi siku 30 ilitumiwa). Kwa hivyo, ndani ya siku 30 baada ya uthibitishaji wa kwanza, Let's Encrypt inaweza kutoa cheti, hata kama thamani ya rekodi ya CAA ilibadilishwa na Let's Encrypt ikaondolewa kwenye orodha ya mamlaka zinazokubalika za uthibitishaji.
Watumiaji walioathiriwa huarifiwa kwa barua pepe ikiwa maelezo ya mawasiliano yalijazwa wakati wa kupokea cheti. Unaweza kuangalia vyeti vyako kwa kupakua nambari za serial za vyeti vilivyobatilishwa au kutumia (iko kwenye anwani ya IP, katika Shirikisho la Urusi na Roskomnadzor). Unaweza kujua nambari ya serial ya cheti cha kikoa cha riba kwa kutumia amri:
openssl s_client -connect example.com:443 -showcerts /dev/null \
| openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Chanzo: opennet.ru