Let's Encrypt 是一个社区控制的非营利证书颁发机构,向所有人提供免费证书。 关于即将撤销许多先前颁发的 TLS/SSL 证书的信息。 在目前有效的 116 亿个 Let's Encrypt 证书中,略多于 3 万个 (2.6%) 将被撤销,其中大约 1 万个是与同一域绑定的重复证书(该错误主要影响更新非常频繁的证书,即为什么有这么多重复项)。 召回计划于 4 月 3 日进行(具体时间尚未确定,但召回要到凌晨 XNUMX 点才会发生,MSK)。
因29月XNUMX日发现而需要召回 。 该问题自 25 年 2019 月 XNUMX 日开始出现,并影响检查 DNS 中 CAA 记录的系统。 CAA 记录(,证书颁发机构授权)允许域所有者显式定义证书颁发机构,通过该证书颁发机构可以为指定的域生成证书。 如果 CA 未在 CAA 记录中列出,则它必须阻止为给定域颁发证书,并通知域所有者有关泄露的尝试。 在大多数情况下,通过 CAA 检查后会立即请求证书,但检查结果的有效期为 30 天。 规则还要求重新验证不得晚于颁发新证书前8小时(即,如果距离上次申请新证书时已超过8小时,则需要重新验证)。
如果证书请求同时涵盖多个域名,并且每个域名都需要进行 CAA 记录检查,则会出现此错误。 错误的本质是,在重新检查时,不是验证所有域,而是仅重新检查列表中的一个域(如果请求有 N 个域,则不是 N 个不同的检查,而是检查 N 个域)次)。 对于其余域,不执行第二次检查,并在做出决策时使用第一次检查的数据(即使用最多 30 天的数据)。 因此,在首次验证后的 30 天内,即使 CAA 记录的值发生更改并且 Let's Encrypt 已从可接受的 CA 列表中删除,Let's Encrypt 仍可以颁发证书。
如果在收到证书时填写了联系信息,受影响的用户将收到电子邮件通知。 您可以通过下载检查您的证书 已撤销证书的序列号或使用 (位于 IP 地址上, 俄罗斯联邦 Roskomnadzor)。 您可以使用以下命令查找感兴趣的域的证书序列号:
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -文本-noout | grep -A 1 序列号| tr-d:
来源: opennet.ru