В последние годы использование защищенного протокола HTTPS стало неотъемлемой частью современного интернета. Он обеспечивает шифрование данных и защиту конфиденциальности пользователей, делая передачу информации по сети более безопасной.
Сервис Let's Encrypt стал популярным среди владельцев веб-сайтов, так как предоставляет бесплатные SSL-сертификаты, которые позволяют легко перейти на защищенный протокол HTTPS. Этот сервис был запущен в 2016 году и с тех пор завоевал доверие многих пользователей интернета.
Кроме того, Let's Encrypt упрощает процесс установки и обновления SSL-сертификатов. С помощью автоматизированных инструментов, владельцы сайтов могут легко получить и установить сертификаты Let's Encrypt, минимизируя ручную работу и упрощая процесс обновления.
Вы пользуетесь сертификатами Let's Encrypt? Тогда проверьте работу своих сайтов: сегодня из-за найденной ошибки в механизме проверки CAA-записей центр сертификации отзывает более 3-х миллионов SSL-сертификатов.
Необходимость отзыва обусловлена выявленной 29 февраля ошибкой. Проблема проявляется с 25 июля 2019 года и затрагивает систему проверки CAA-записей в DNS. Запись CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, через который можно генерировать сертификаты для указанного домена. Если удостоверяющий центр не перечислен в записях CAA, то он обязан блокировать выдачу сертификатов для данного домена и информировать владельца домена о попытках компрометации. В большинстве случаев сертификат запрашивается сразу после прохождения проверки CAA, но результат проверки считается действительным ещё 30 дней. Правила также предписывают выполнять повторную проверку не позднее, чем за 8 часов до выдачи нового сертификата (т.е. если при запросе нового сертификата с момента прошлой проверки прошло 8 часов, требуется повторная проверка).
Ошибка проявляется, если запрос сертификата охватывает сразу несколько доменных имён, для каждого из которых требуется проверка записи CAA. Суть ошибки в том, что в момент повторной проверки вместо валидации всех доменов, осуществлялась повторная проверка только одного домена из списка (если в запросе было N доменов, вместо N разных проверок, один домен проверялся N раз). Для остальных доменов повторная проверка не выполнялась и при принятии решения использовались данные первой проверки (т.е. использовались данные, давностью до 30 дней). Как следствие, в течение 30 дней после первой проверки Let’s Encrypt мог выдать сертификат, даже если значение CAA-записи было изменено и Let’s Encrypt был убран из списка допустимых удостоверяющих центров.
В качестве решения достаточно перевыпустить проблемный сертификат, если это не произошло автоматически.
Подробнее: https://clc.to/b6u6jg
