Let's Encrypt là cơ quan cấp chứng chỉ phi lợi nhuận do cộng đồng kiểm soát, cung cấp chứng chỉ miễn phí cho mọi người. về việc thu hồi nhiều chứng chỉ TLS/SSL đã cấp trước đó sắp tới. Trong số 116 triệu chứng chỉ Let's Encrypt hiện có hiệu lực, hơn 3 triệu (2.6%) sẽ bị thu hồi, trong đó khoảng 1 triệu là bản sao gắn với cùng một tên miền (lỗi chủ yếu ảnh hưởng đến các chứng chỉ được cập nhật rất thường xuyên, đó là tại sao có nhiều bản sao như vậy). Việc thu hồi dự kiến diễn ra vào ngày 4 tháng 3 (thời gian chính xác vẫn chưa được xác định, nhưng việc thu hồi sẽ không diễn ra cho đến XNUMX giờ sáng MSK).
Việc cần thu hồi là do phát hiện ngày 29/XNUMX . Sự cố đã xuất hiện từ ngày 25/2019/XNUMX và ảnh hưởng đến hệ thống kiểm tra bản ghi CAA trong DNS. Bản ghi CAA (,Ủy quyền của tổ chức phát hành chứng chỉ) cho phép chủ sở hữu tên miền xác định rõ ràng cơ quan cấp chứng chỉ mà qua đó các chứng chỉ có thể được tạo cho một miền được chỉ định. Nếu CA không được liệt kê trong bản ghi CAA, CA đó phải chặn việc cấp chứng chỉ cho một miền nhất định và thông báo cho chủ sở hữu miền về các nỗ lực xâm phạm. Trong hầu hết các trường hợp, chứng chỉ được yêu cầu ngay sau khi vượt qua kiểm tra CAA, nhưng kết quả kiểm tra được coi là hợp lệ trong 30 ngày nữa. Các quy tắc cũng yêu cầu việc xác minh lại phải được thực hiện không muộn hơn 8 giờ trước khi cấp giấy chứng nhận mới (tức là nếu 8 giờ đã trôi qua kể từ lần kiểm tra cuối cùng khi yêu cầu giấy chứng nhận mới thì cần phải xác minh lại).
Lỗi xảy ra nếu yêu cầu chứng chỉ bao gồm nhiều tên miền cùng một lúc, mỗi tên miền đều yêu cầu kiểm tra bản ghi CAA. Bản chất của lỗi là tại thời điểm kiểm tra lại, thay vì xác thực tất cả các miền, chỉ có một miền trong danh sách được kiểm tra lại (nếu yêu cầu có N miền, thay vì N các lần kiểm tra khác nhau thì chỉ kiểm tra một miền N). lần). Đối với các tên miền còn lại, lần kiểm tra thứ hai không được thực hiện và dữ liệu từ lần kiểm tra đầu tiên được sử dụng khi đưa ra quyết định (tức là dữ liệu cách đây tối đa 30 ngày đã được sử dụng). Do đó, trong vòng 30 ngày sau lần xác minh đầu tiên, Let's Encrypt có thể cấp chứng chỉ ngay cả khi giá trị của bản ghi CAA bị thay đổi và Let's Encrypt bị xóa khỏi danh sách CA được chấp nhận.
Người dùng bị ảnh hưởng sẽ được thông báo qua email nếu thông tin liên hệ được điền khi nhận chứng chỉ. Bạn có thể kiểm tra chứng chỉ của mình bằng cách tải xuống số sê-ri của chứng chỉ bị thu hồi hoặc sử dụng (nằm trên địa chỉ IP, ở Liên bang Nga bởi Roskomnadzor). Bạn có thể tìm ra số sê-ri của chứng chỉ cho miền quan tâm bằng lệnh:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 Số sê-ri\ | tr -d :
Nguồn: opennet.ru