Let's Encrypt เป็นผู้ออกใบรับรองที่ไม่หวังผลกำไรที่ควบคุมโดยชุมชน ซึ่งมอบใบรับรองฟรีให้กับทุกคน เกี่ยวกับการเพิกถอนใบรับรอง TLS/SSL ที่ออกก่อนหน้านี้จำนวนมากที่กำลังจะเกิดขึ้น จากใบรับรอง Let's Encrypt ที่ถูกต้องจำนวน 116 ล้านใบในปัจจุบัน จะมีการยกเลิกมากกว่า 3 ล้านใบ (2.6%) เล็กน้อย โดยในจำนวนนี้ประมาณ 1 ล้านใบเป็นรายการที่ซ้ำกันซึ่งเชื่อมโยงกับโดเมนเดียวกัน (ข้อผิดพลาดส่วนใหญ่ส่งผลต่อใบรับรองที่ได้รับการอัปเดตบ่อยมาก ซึ่งก็คือ ทำไมซ้ำกันเยอะจัง) การเรียกคืนมีกำหนดในวันที่ 4 มีนาคม (ยังไม่ได้กำหนดเวลาที่แน่นอน แต่การเรียกคืนจะไม่เกิดขึ้นจนกว่าจะถึงเวลา 3 น. MSK)
ความจำเป็นในการเรียกคืนมีสาเหตุมาจากการค้นพบเมื่อวันที่ 29 กุมภาพันธ์ . ปัญหาเกิดขึ้นตั้งแต่วันที่ 25 กรกฎาคม 2019 และส่งผลกระทบต่อระบบตรวจสอบบันทึก CAA ใน DNS บันทึก CAA (,Certificate Authority Authorization) ช่วยให้เจ้าของโดเมนกำหนดผู้ออกใบรับรองได้อย่างชัดเจน ซึ่งสามารถสร้างใบรับรองสำหรับโดเมนที่ระบุได้ หาก CA ไม่อยู่ในรายการบันทึก CAA จะต้องบล็อกการออกใบรับรองสำหรับโดเมนที่กำหนด และแจ้งให้เจ้าของโดเมนทราบถึงความพยายามที่จะประนีประนอม ในกรณีส่วนใหญ่ จะมีการขอใบรับรองทันทีหลังจากผ่านการตรวจสอบของ CAA แต่ผลการตรวจสอบจะถือว่าใช้ได้ต่อไปอีก 30 วัน กฎยังกำหนดให้มีการยืนยันอีกครั้งไม่ช้ากว่า 8 ชั่วโมงก่อนการออกใบรับรองใหม่ (เช่น หากผ่านไป 8 ชั่วโมงนับตั้งแต่การตรวจสอบครั้งล่าสุดเมื่อขอใบรับรองใหม่ จำเป็นต้องมีการยืนยันอีกครั้ง)
ข้อผิดพลาดจะเกิดขึ้นหากคำขอใบรับรองครอบคลุมชื่อโดเมนหลายรายการในคราวเดียว ซึ่งแต่ละรายการต้องมีการตรวจสอบบันทึก CAA สาระสำคัญของข้อผิดพลาดคือในขณะที่ตรวจสอบอีกครั้ง แทนที่จะตรวจสอบโดเมนทั้งหมด มีการตรวจสอบโดเมนเดียวจากรายการอีกครั้ง (หากคำขอมีโดเมน N แทนที่จะเป็นการตรวจสอบที่แตกต่างกัน N รายการ โดเมนหนึ่งถูกตรวจสอบ N ครั้ง) สำหรับโดเมนที่เหลือ จะไม่มีการตรวจสอบครั้งที่สอง และระบบจะใช้ข้อมูลจากการตรวจสอบครั้งแรกในการตัดสินใจ (เช่น ใช้ข้อมูลที่มีอายุไม่เกิน 30 วัน) ด้วยเหตุนี้ ภายใน 30 วันหลังจากการตรวจสอบครั้งแรก Let's Encrypt สามารถออกใบรับรองได้ แม้ว่าค่าของบันทึก CAA จะมีการเปลี่ยนแปลงและ Let's Encrypt ถูกลบออกจากรายชื่อหน่วยงานออกใบรับรองที่ยอมรับได้ก็ตาม
ผู้ใช้ที่ได้รับผลกระทบจะได้รับแจ้งทางอีเมลหากมีการกรอกข้อมูลการติดต่อเมื่อได้รับใบรับรอง คุณสามารถตรวจสอบใบรับรองของคุณได้โดยการดาวน์โหลด หมายเลขซีเรียลของใบรับรองที่ถูกเพิกถอนหรือการใช้งาน (ตั้งอยู่บนที่อยู่ IP ในสหพันธรัฐรัสเซียโดย Roskomnadzor) คุณสามารถค้นหาหมายเลขซีเรียลของใบรับรองสำหรับโดเมนที่สนใจได้โดยใช้คำสั่ง:
openssl s_client - เชื่อมต่อ example.com:443 -showcerts /dev/null \
| openssl x509 -ข้อความ -noout | grep -A 1 หมายเลขซีเรียล | tr -d :
ที่มา: opennet.ru