Let's Encrypt "отключил" более 3 млн SSL-сертификатов через ошибку в коде
29 февраля на корпоративной странице Let's Encrypt была размещена информация об обнаружении ошибки в рабочем коде для CAA (Certification Authority Authorization). В результате ошибки отозвано 3 млн выданных ранее TLS/SSL сертификатов.
Причина ошибки в том, что с 25 июля прошлого года используемое ПО Boulder, которое проверяет сертификацию, некорректно отрабатывало повторную проверку.
Отключение сертификатов произошло вчера 4 марта. Из 116 млн функционирующих на сегодня сертификатов Let's Encrypt “убрано” чуть более 3 млн (2.6%). Основная часть которых 1 млн. являются дубликатами для 1-го домена. В этот день все затронутые SSL выдали соответствующую ошибку в веб-браузерах.
Также сотрудники Let's Encrypt предоставили серийные номера ССЛ, которые выдавались ранее и пострадали. Ошибка получила название 2020.02.29 CAA Rechecking Incident.
Чтобы проверить серийный номер вашего бесплатного сертификата в системах Linux/BSD используйте команды:
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d : или «openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -noout -serial»
В случае возникновения ошибки, владельцам таких сайтов необходимо сделать запрос на смену сертификата на новый. На хостинге от ГиперХост бесплатные сертификаты Let's Encrypt обновляются автоматически. Но если у вас вдруг появилась ошибка в работе Let's Encrypt сертификата, пожалуйста, напишите запрос (тикет) в нашу техническую поддержку ГиперХост (если ваш сайт размещен на нашем хостинге).
В свою очередь Центр сертификации Let's Encrypt отправил электронные письма всем пострадавшим от ошибки. В письме указана информация, что необходимо сделать обновление сертификата:
Также вы можете самостоятельно проверить свой SSL по ссылке.