Let's Encrypt, herkese ücretsiz sertifikalar sağlayan, topluluk tarafından kontrol edilen, kar amacı gütmeyen bir sertifika yetkilisidir. önceden verilmiş birçok TLS/SSL sertifikasının yaklaşan iptali hakkında. Şu anda geçerli olan 116 milyon Let's Encrypt sertifikasından 3 milyondan biraz fazlası (%2.6) iptal edilecek; bunların yaklaşık 1 milyonu aynı alana bağlı kopyalardan oluşuyor (hata esas olarak çok sık güncellenen sertifikaları etkiledi; neden bu kadar çok kopya var). Geri çağırmanın 4 Mart'ta yapılması planlanıyor (kesin zaman henüz belirlenmedi, ancak geri çağırma MSK sabah 3'e kadar gerçekleşmeyecek).
Geri çağırma ihtiyacı, 29 Şubat'taki keşiften kaynaklanıyor . Sorun 25 Temmuz 2019'dan beri ortaya çıkıyor ve DNS'deki CAA kayıtlarını kontrol etme sistemini etkiliyor. CAA Kaydı (,Sertifika Yetkilisi Yetkilendirmesi), etki alanı sahibinin, belirli bir etki alanı için sertifikaların oluşturulabileceği bir sertifika yetkilisini açıkça tanımlamasına olanak tanır. Bir CA, CAA kayıtlarında listelenmiyorsa, belirli bir etki alanı için sertifika verilmesini engellemeli ve etki alanı sahibini tehlikeye atma girişimleri konusunda bilgilendirmelidir. Çoğu durumda, sertifika CAA kontrolünü geçtikten hemen sonra talep edilir, ancak kontrolün sonucu 30 gün daha geçerli kabul edilir. Kurallar ayrıca, yeni bir sertifikanın verilmesinden en geç 8 saat önce yeniden doğrulamanın yapılmasını gerektirir (yani, yeni bir sertifika talep edilirken son denetimin üzerinden 8 saat geçmişse, yeniden doğrulama gereklidir).
Sertifika isteği aynı anda birden fazla alan adını kapsıyorsa ve bunların her biri bir CAA kayıt kontrolü gerektiriyorsa hata oluşur. Hatanın özü, yeniden kontrol sırasında tüm alan adlarını doğrulamak yerine listeden yalnızca bir alanın yeniden kontrol edilmesidir (isteğin N farklı kontrol yerine N alan adı varsa, bir alan adı kontrol edilmiştir N) zamanlar). Geriye kalan alan adları için ikinci bir kontrol yapılmadı ve karar verirken ilk kontrolün verileri kullanıldı (yani 30 güne kadar olan veriler kullanıldı). Sonuç olarak, ilk doğrulamadan sonraki 30 gün içinde Let's Encrypt, CAA kaydının değeri değiştirilse ve Let's Encrypt kabul edilebilir CA'lar listesinden çıkarılsa bile bir sertifika verebilir.
Etkilenen kullanıcılara, sertifikayı alırken iletişim bilgilerinin doldurulması halinde e-posta yoluyla bilgi verilir. İndirerek sertifikalarınızı kontrol edebilirsiniz. iptal edilen sertifikaların seri numaraları veya kullanılması (IP adresinde bulunur, Rusya Federasyonu'nda Roskomnadzor tarafından). İlgili alan adına ait sertifikanın seri numarasını şu komutu kullanarak öğrenebilirsiniz:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -metin -noout | grep -A 1 Seri\ Numarası | tr-d :
Kaynak: opennet.ru