Let's Encrypt 是一個非商業的、社區控制的 CA,它向任何人免費提供證書, 關於即將撤銷許多以前頒發的 TLS/SSL 證書。 在當前的 116 億個 Let's Encrypt 證書中,只有超過 3 萬個 (2.6%) 將被撤銷,其中大約 1 萬個是綁定到同一域的重複證書(錯誤主要影響非常頻繁更新的證書,這就是為什麼有這麼多重複)。 召回時間定於 4 月 3 日(具體時間尚未確定,但召回時間不會早於莫斯科時間凌晨 XNUMX 點)。
需要召回是因為29月XNUMX日查明 . 該問題自 25 年 2019 月 XNUMX 日以來一直存在,並影響了在 DNS 中檢查 CAA 記錄的系統。 CAA記錄(, Certificate Authority Authorization) 允許域所有者明確定義證書頒發機構,通過該證書頒發機構可以為指定的域生成證書。 如果證書頒發機構未在 CAA 記錄中列出,則它必須阻止為該域頒發證書,並通知域所有者有關妥協的嘗試。 在大多數情況下,證書在通過 CAA 驗證後立即被請求,但驗證結果被認為還有 30 天的有效期。 規則還要求在頒發新證書前不晚於 8 小時重新生效(即,如果自上次申請新證書時生效已過去 8 小時,則需要重新生效)。
如果證書請求一次包含多個域名,每個域名都需要驗證 CAA 記錄,則會出現此錯誤。 錯誤的實質是,在重新檢查時,沒有驗證所有域,而是僅重新檢查了列表中的一個域(如果請求中有 N 個域,而不是 N 個不同的檢查,一個域是檢查N次)。 對於其他域,沒有執行第二次檢查,而是使用第一次檢查的數據做出決定(即,使用了 30 天前的數據)。 因此,在第一次檢查後的 30 天內,即使 CAA 記錄的值已更改並且 Let's Encrypt 已從有效 CA 列表中刪除,Let's Encrypt 仍可以頒發證書。
如果受影響的用戶在收到證書時填寫了聯繫信息,則會收到一封電子郵件通知。 您可以通過下載來檢查您的證書 吊銷證書的序列號或使用 (位於 IP 地址上, 在俄羅斯聯邦由 Roskomnadzor)。 您可以使用以下命令找出感興趣域的證書序列號:
openssl s_client -connect example.com:443 -showcerts /開發/空\
| openssl x509 -文本-noout | grep -A 1 序列\編號 | tr -d :
來源: opennet.ru