Центр сертификации Let’s Encrypt объявил, что в среду (4 марта 2020 г.) он отзовет 3 миллиона сертификатов SSL из-за ошибки CAA. Это может означать, что миллионы веб-сайтов, защищенных этими сертификатами, будут считаться незащищенными браузерами или станут недоступными.
[Обновлено 08.03.2020] Let’s Encrypt внес изменения. Запланированный отзыв сертификатов, который должен был состояться 4-5 марта, приостановлен. LE отменила действие так называемых сертификатов высокого риска. Для других срок годности будет сохранен.
Обновление 05.08.2020
Объявленные изменения частично отменены. Возможные нарушения и сбои, которые, как утверждают представители LE, могли негативно повлиять на пользователей и участников сети, стали причиной частичной отмены ограничений.
Let’s Encrypt якобы отозвал 3 миллиона сертификатов из-за ошибки CAA, которая повлияла на то, как его программное обеспечение проверяло право собственности на домен перед выдачей сертификатов. В некоторых ситуациях проверка записи CAA, которую необходимо выполнить перед выдачей сертификата, просто не проводилась.
Ошибка является шлюзом для хакеров, чтобы взять под контроль сертификат SSL на веб-сайте и позволить им подслушивать сетевой трафик и собирать конфиденциальные данные.
Описание ошибки
Ошибка: когда запрос сертификата содержал N доменных имен, которые требовалось перепроверить CAA, Боулдер выбрал одно доменное имя и проверил его N раз. На практике это означает, что если подписчик проверяет доменное имя в момент X, а записи CAA для этого домена в момент X разрешили выпуск Let’s Encrypt, этот подписчик сможет выдать сертификат, содержащий это доменное имя, на X + 30 дней, даже если кто-то позже установит записи CAA в это доменное имя, которые запрещают Let’s Encrypt выдавать сертификат.
Согласно Let’s Encrypt, ошибка была представлена в Boulder — автоматизированной среде управления сертификатами LE — 25 июля 2019 года. Когда она была обнаружена, то есть в прошлое воскресенье, было создано исправление (патч).
По словам представителей Let’s Encrypt, решение проблемы пользователями не должно быть проблемой.
Мой сертификат работает?
Пострадавшие владельцы сертификатов, по данным Let’s Encrypt, должны были быть уведомлены по электронной почте о необходимости продления и замены сертификата до 4 марта.
Если проблема касается вас, вы не знаете, получили ли вы электронное письмо, вы не исправили ошибку на своей стороне, используйте инструмент, который — после ввода домена (без http, https) — проверит, использует ли ваш веб-сайт дефектный сертификат. Вы можете найти инструмент на https://checkhost.unboundtest.com/