Let's Encrypt, notijorat, hamjamiyat tomonidan boshqariladigan CA bo'lib, u sertifikatlarni har kimga bepul taqdim etadi. ilgari chiqarilgan ko'plab TLS/SSL sertifikatlarining bekor qilinishi haqida. 116 million joriy Let's Encrypt sertifikatlaridan atigi 3 milliondan ortig'i (2.6%) bekor qilinadi, ulardan taxminan 1 millioni bir xil domenga bog'langan dublikatlardir (xato asosan tez-tez yangilanadigan sertifikatlarga ta'sir qiladi, shuning uchun ham juda ko'p. dublikatlar). Chaqiruv 4 martga rejalashtirilgan (aniq vaqt hali aniqlanmagan, ammo chaqirib olish MSK soat 3 dan oldin amalga oshiriladi).
Qaytarib olish zarurati 29-fevralda aniqlangani bilan bog‘liq . Muammo 25-yil 2019-iyuldan beri namoyon bo'lmoqda va DNS-dagi CAA yozuvlarini tekshirish tizimiga ta'sir qiladi. CAA rekordi (, Sertifikat organining avtorizatsiyasi) domen egasiga sertifikatlashtirish organini aniq belgilash imkonini beradi, bu orqali koʻrsatilgan domen uchun sertifikatlar yaratilishi mumkin. Agar sertifikatlashtirish organi CAA yozuvlarida ro'yxatga olinmagan bo'lsa, u ushbu domen uchun sertifikatlar berilishini bloklashi va domen egasini murosaga urinishlar haqida xabardor qilishi shart. Aksariyat hollarda sertifikat CAA tekshiruvidan o'tgandan so'ng darhol so'raladi, ammo tekshirish natijasi yana 30 kun davomida amal qiladi. Qoidalar, shuningdek, yangi sertifikat berilishidan oldin 8 soatdan kechiktirmay qayta tekshirishni talab qiladi (ya'ni, agar yangi sertifikat so'ralganda oxirgi tekshirishdan 8 soat o'tgan bo'lsa, qayta tekshirish talab qilinadi).
Agar sertifikat so'rovi bir vaqtning o'zida bir nechta domen nomlarini qamrab olsa, xatolik yuzaga keladi, ularning har biri CAA yozuvini tekshirishni talab qiladi. Xatoning mohiyati shundan iboratki, qayta tekshirish vaqtida barcha domenlarni tekshirish o‘rniga ro‘yxatdagi faqat bitta domen qayta tekshirilgan (agar so‘rovda N domen bo‘lsa, N ta turli tekshirish o‘rniga bitta domen bo‘lgan. N marta tekshirildi). Boshqa domenlar uchun ikkinchi tekshirish amalga oshirilmadi va qaror birinchi tekshiruvdan olingan ma'lumotlardan foydalangan holda qabul qilindi (ya'ni, 30 kungacha bo'lgan ma'lumotlar ishlatilgan). Natijada, birinchi tekshiruvdan keyin 30 kun ichida Let's Encrypt sertifikat berishi mumkin, hatto CAA yozuvining qiymati o'zgartirilgan va Let's Encrypt joriy CAlar ro'yxatidan olib tashlangan bo'lsa ham.
Ta'sirlangan foydalanuvchilar sertifikatni olganlarida aloqa ma'lumotlari to'ldirilgan bo'lsa, elektron pochta xabarnomasi yuborildi. Sertifikatlaringizni yuklab olish orqali tekshirishingiz mumkin bekor qilingan sertifikatlarning seriya raqamlari yoki foydalanish orqali (IP-manzilda joylashgan, Rossiya Federatsiyasida Roskomnadzor tomonidan). Siz qiziqqan domen uchun sertifikatning seriya raqamini buyruq yordamida bilib olishingiz mumkin:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -matn -noout | grep -A 1 Seriya\Raqam | tr -d :
Manba: opennet.ru