Let's Encrypt ایک کمیونٹی کے زیر کنٹرول غیر منافع بخش سرٹیفکیٹ اتھارٹی ہے جو ہر کسی کو مفت سرٹیفکیٹ فراہم کرتی ہے۔ بہت سے پہلے جاری کردہ TLS/SSL سرٹیفکیٹس کی آئندہ منسوخی کے بارے میں۔ 116 ملین فی الحال درست Let's Encrypt سرٹیفکیٹس میں سے، 3 ملین سے کچھ زیادہ (2.6%) منسوخ کر دیے جائیں گے، جن میں سے تقریباً 1 ملین ایک ہی ڈومین سے جڑے ہوئے ڈپلیکیٹس ہیں (خرابی بنیادی طور پر متاثر سرٹیفکیٹس ہیں جو بہت کثرت سے اپ ڈیٹ ہوتے ہیں، جو کیوں بہت سارے ڈپلیکیٹس ہیں)۔ واپسی کا وقت 4 مارچ کو مقرر کیا گیا ہے (صحیح وقت کا ابھی تک تعین نہیں کیا گیا ہے، لیکن واپسی MSK صبح 3 بجے تک نہیں ہوگی)۔
واپس بلانے کی ضرورت 29 فروری کو ہونے والی دریافت کی وجہ سے ہے۔ . یہ مسئلہ 25 جولائی 2019 سے ظاہر ہو رہا ہے اور DNS میں CAA ریکارڈز کی جانچ کے نظام کو متاثر کرتا ہے۔ CAA ریکارڈ (,سرٹیفکیٹ اتھارٹی اتھارٹی) ڈومین کے مالک کو واضح طور پر ایک سرٹیفیکیشن اتھارٹی کی وضاحت کرنے کی اجازت دیتا ہے جس کے ذریعے کسی مخصوص ڈومین کے لیے سرٹیفکیٹ تیار کیے جاسکتے ہیں۔ اگر سی اے اے ریکارڈز میں CA درج نہیں ہے، تو اسے کسی دیے گئے ڈومین کے لیے سرٹیفکیٹس کے اجراء کو روکنا چاہیے اور ڈومین کے مالک کو سمجھوتہ کرنے کی کوششوں کے بارے میں مطلع کرنا چاہیے۔ زیادہ تر معاملات میں، CAA چیک پاس کرنے کے فوراً بعد سرٹیفکیٹ کی درخواست کی جاتی ہے، لیکن چیک کا نتیجہ مزید 30 دنوں کے لیے درست سمجھا جاتا ہے۔ قوانین کے مطابق نئے سرٹیفکیٹ کے اجراء سے 8 گھنٹے پہلے دوبارہ تصدیق کی ضرورت ہوتی ہے (یعنی، اگر نئے سرٹیفکیٹ کی درخواست کرتے وقت آخری معائنہ کے بعد 8 گھنٹے گزر چکے ہیں، تو دوبارہ تصدیق کی ضرورت ہے)۔
غلطی اس وقت ہوتی ہے جب سرٹیفکیٹ کی درخواست ایک ساتھ کئی ڈومین ناموں کا احاطہ کرتی ہے، جن میں سے ہر ایک کو CAA ریکارڈ کی جانچ کی ضرورت ہوتی ہے۔ خرابی کا خلاصہ یہ ہے کہ ری چیکنگ کے وقت، تمام ڈومینز کو درست کرنے کے بجائے، فہرست میں سے صرف ایک ڈومین کو دوبارہ چیک کیا گیا تھا (اگر درخواست میں N ڈومینز تھے، N مختلف چیک کے بجائے، ایک ڈومین کو N چیک کیا گیا تھا۔ اوقات)۔ باقی ڈومینز کے لیے، دوسرا چیک نہیں کیا گیا تھا اور فیصلہ کرتے وقت پہلے چیک سے ڈیٹا استعمال کیا گیا تھا (یعنی 30 دن تک پرانا ڈیٹا استعمال کیا گیا تھا)۔ نتیجے کے طور پر، پہلی تصدیق کے بعد 30 دنوں کے اندر، Let's Encrypt ایک سرٹیفکیٹ جاری کر سکتا ہے چاہے CAA ریکارڈ کی قدر میں تبدیلی کی گئی ہو اور Let's Encrypt کو قابل قبول CAs کی فہرست سے ہٹا دیا گیا ہو۔
متاثرہ صارفین کو ای میل کے ذریعے مطلع کیا جاتا ہے اگر سرٹیفکیٹ حاصل کرتے وقت رابطے کی معلومات پُر کی گئی تھیں۔ آپ ڈاؤن لوڈ کر کے اپنے سرٹیفکیٹ چیک کر سکتے ہیں۔ منسوخ شدہ سرٹیفکیٹس کے سیریل نمبرز یا استعمال کرنا (آئی پی ایڈریس پر واقع ہے، روسی فیڈریشن میں بذریعہ Roskomnadzor)۔ آپ کمانڈ کا استعمال کرتے ہوئے دلچسپی کے ڈومین کے لیے سرٹیفکیٹ کا سیریل نمبر تلاش کر سکتے ہیں:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 سیریل نمبر | tr -d :
ماخذ: opennet.ru