Let's Encrypt, як CA-и ғайритиҷоратӣ, ки аз ҷониби ҷомеа назорат мешавад, ки сертификатҳоро ба ҳама ройгон медиҳад, дар бораи бозхонди дарпешистодаи бисёре аз сертификатҳои қаблан додашудаи TLS/SSL. Аз 116 миллион сертификатҳои ҳозираи Let's Encrypt, каме бештар аз 3 миллион (2.6%) бекор карда мешаванд, ки тақрибан 1 миллионаш нусхаҳои ба як домен алоқаманданд (хато асосан ба сертификатҳои зуд-зуд навшаванда таъсир расонд, бинобар ин ин қадар зиёданд. дубликатҳо). Бозхонди бозхонд 4 март ба нақша гирифта шудааст (вақти дақиқ ҳанӯз муайян нашудааст, аммо бозхонд на пештар аз соати 3:XNUMX MSK анҷом дода мешавад).
Зарурати бозхонди он ба далели маълум шудани 29 феврал ба миён омадааст . Мушкилот аз 25 июли соли 2019 зоҳир шуда, ба системаи санҷиши сабтҳои CAA дар DNS таъсир мерасонад. Сабти CAA (, Authorization Authority Certificate) ба соҳиби домен имкон медиҳад, ки мақомоти сертификатсияро ба таври возеҳ муайян кунад, ки тавассути он сертификатҳо барои домени мушаххас тавлид мешаванд. Агар мақомоти сертификатсия дар сабтҳои CAA номбар нашуда бошанд, он гоҳ вай бояд додани сертификатҳоро барои ин домен манъ кунад ва соҳиби доменро дар бораи кӯшишҳои созиш огоҳ созад. Дар аксари ҳолатҳо, сертификат фавран пас аз гузаштани санҷиши CAA дархост карда мешавад, аммо натиҷаи санҷиш барои 30 рӯзи дигар эътиборнок ҳисобида мешавад. Қоидаҳо инчунин на дертар аз 8 соат пеш аз додани шаҳодатномаи нав аз нав тасдиқ карданро талаб мекунанд (яъне агар 8 соат аз санҷиши охирин ҳангоми дархости сертификати нав гузашта бошад, дубора тасдиқ кардан лозим аст).
Хатогӣ рух медиҳад, агар дархости сертификат якбора якчанд номи домейнҳоро фаро гирад, ки ҳар кадоми онҳо тафтиши сабти CAA-ро талаб мекунад. Моҳияти хато дар он аст, ки ҳангоми санҷиши такрорӣ ба ҷои тасдиқи ҳамаи доменҳо, танҳо як домен аз рӯйхат аз нав тафтиш карда шуд (агар дар дархост N домен мавҷуд бошад, ба ҷои N чекҳои гуногун, як домен N маротиба тафтиш карда шуд). Барои доменҳои дигар санҷиши дуюм гузаронида нашуд ва қарор бо истифода аз маълумоти санҷиши аввал қабул карда шуд (яъне маълумоти то 30 рӯз истифода мешуд). Дар натиҷа, дар давоми 30 рӯзи пас аз санҷиши аввал, Let's Encrypt метавонад сертификат диҳад, ҳатто агар арзиши сабти CAA тағир дода шуда бошад ва Let's Encrypt аз рӯйхати CA-ҳои эътибор хориҷ карда шавад.
Корбарони зарардида огоҳиномаи почтаи электронӣ фиристода шуданд, агар маълумоти тамос ҳангоми гирифтани сертификат пур карда шуда бошад. Шумо метавонед сертификатҳои худро тавассути зеркашӣ тафтиш кунед рақамҳои силсилавии шаҳодатномаҳои бекоршуда ё бо истифода аз (воқеъ дар суроғаи IP, дар Федератсияи Россия аз ҷониби Роскомнадзор). Шумо метавонед рақами силсилавии сертификатро барои домени таваҷҷӯҳ бо фармони зерин пайдо кунед:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Серия \ Рақами | tr -d :
Манбаъ: opennet.ru