Увага з 29 лютого 2020 року призупинений випуск безкоштовних SSL сертифікатів Let’s Encrypt .
Це рішення було викликано тим, що 29.02.2020 команда розробників Let’s Encrypt знайшла помилку у своєму САА (Certificate Authority Authorization) коді.
При переході за посиланням Ви можете перевірити чи використовуєте пошкоджений сертифікат, чи ні. https://checkhost.unboundtest.com/
Дізнавшись про помилку в контрольному коді CA компанія приступила до негайного її виправлення, було оголошено, про відкликання приблизно 2.6% активних сертифікатів, які потенційно могли постраждати від цієї помилки, що складає приблизно 3 мільйони сертифікатів.
Сама помилка полягає у наступному: коли запит на сертифікат містить N-ну кількість доменних імен, яким необхідна повторна перевірка CAA, «Boulder» вибирав одне доменне ім’я та перевірить його N-ну кількість разів. На практиці це означає, що в момент повторної перевірки замість валідації всіх доменів, проводилась повторна перевірка тільки одного домену зі списку. Для інших доменів повторна перевірка не виконувалась та при прийнятті рішення використовувались дані першої перевірки (тобто використовувались дані, що мали давнину до 30 днів). Як наслідок, протягом 30 днів після першої перевірки Let’s Encrypt міг видати сертифікат, навіть якщо значення CAA-записи було змінено й Let’s Encrypt був прибраний зі списку допустимих посвідчуючих центрів.
За попереднім розслідуванням команда розробників повідомляє, що помилка виникла 25-07-2019. Наразі проводиться більш детальне розслідування.
Натомість компанія Let’s Encrypt пропонує лише сертифікати з 90-денним терміном життя, тому потенційно пошкодженні сертифікати, які не будуть відкликані, відносно швидко залишать екосистему.
Крім того, компанія надає кількість сертифікатів, які були або будуть відкликані, до закінчення дедлайну, тобто до 05-03-2020:
- 1.706.505 сертифікатів, які ми впевнені, були замінені протягом періоду існування помилки;
445 сертифікатів, які компанія розглядала як найвищий пріоритет для відкликання, оскільки під час виявлення помилки у них були записи CAA, яким Let’s Encrypt суворо забороняє видавати.
Інформація отримана з наступних джерел: