Ang Let's Encrypt ay isang kinokontrol ng komunidad, non-profit na awtoridad sa sertipiko na nagbibigay ng mga libreng certificate sa lahat. tungkol sa paparating na pagbawi ng maraming naunang inisyu na TLS/SSL certificate. Sa 116 milyon na kasalukuyang may bisang Let's Encrypt na mga certificate, higit sa 3 milyon (2.6%) ang babawiin, kung saan humigit-kumulang 1 milyon ang mga duplicate na nakatali sa parehong domain (ang error ay pangunahing nakakaapekto sa mga certificate na napakadalas na ina-update, na bakit maraming duplicate). Ang recall ay naka-iskedyul para sa Marso 4 (ang eksaktong oras ay hindi pa natutukoy, ngunit ang recall ay hindi magaganap hanggang 3 a.m. MSK).
Ang pangangailangan para sa isang recall ay dahil sa pagtuklas noong Pebrero 29 . Ang problema ay lumalabas mula noong Hulyo 25, 2019 at nakakaapekto sa system para sa pagsuri ng mga tala ng CAA sa DNS. CAA Record (,Certificate Authority Authorization) ay nagbibigay-daan sa may-ari ng domain na tahasang tukuyin ang isang awtoridad sa sertipikasyon kung saan maaaring makabuo ng mga certificate para sa isang partikular na domain. Kung ang isang CA ay hindi nakalista sa mga tala ng CAA, dapat nitong i-block ang pagpapalabas ng mga certificate para sa isang partikular na domain at ipaalam sa may-ari ng domain ang tungkol sa mga pagtatangkang magkompromiso. Sa karamihan ng mga kaso, ang sertipiko ay hinihiling kaagad pagkatapos maipasa ang tseke ng CAA, ngunit ang resulta ng tseke ay itinuturing na wasto para sa isa pang 30 araw. Ang mga patakaran ay nangangailangan din ng muling pag-verify na isasagawa nang hindi lalampas sa 8 oras bago ang pag-isyu ng isang bagong sertipiko (ibig sabihin, kung 8 oras na ang lumipas mula noong huling inspeksyon kapag humihiling ng bagong sertipiko, kinakailangan ang muling pag-verify).
Nagaganap ang error kung ang kahilingan sa sertipiko ay sumasaklaw sa ilang mga pangalan ng domain nang sabay-sabay, bawat isa ay nangangailangan ng pagsusuri sa talaan ng CAA. Ang kakanyahan ng error ay na sa oras ng muling pagsusuri, sa halip na patunayan ang lahat ng mga domain, isang domain lamang mula sa listahan ang muling nasuri (kung ang kahilingan ay may N domain, sa halip na N magkakaibang pagsusuri, isang domain ang nilagyan ng tsek N beses). Para sa natitirang mga domain, hindi isinagawa ang pangalawang pagsusuri at ginamit ang data mula sa unang pagsusuri kapag gumagawa ng desisyon (ibig sabihin, ginamit ang data na hanggang 30 araw ang edad). Bilang resulta, sa loob ng 30 araw pagkatapos ng unang pag-verify, ang Let's Encrypt ay maaaring mag-isyu ng certificate, kahit na binago ang halaga ng CAA record at ang Let's Encrypt ay inalis sa listahan ng mga katanggap-tanggap na awtoridad sa certification.
Inaabisuhan ang mga apektadong user sa pamamagitan ng email kung napunan ang impormasyon sa pakikipag-ugnayan noong natanggap ang certificate. Maaari mong suriin ang iyong mga sertipiko sa pamamagitan ng pag-download serial number ng mga binawi na sertipiko o paggamit (matatagpuan sa IP address, sa Russian Federation ni Roskomnadzor). Maaari mong malaman ang serial number ng certificate para sa domain ng interes gamit ang command:
openssl s_client -connect example.com:443 -showcerts /dev/null \
| openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Pinagmulan: opennet.ru