Let's Encrypt "отключил" более 3 млн SSL-сертификатов через ошибку в коде

29 февраля на корпоративной странице Let's Encrypt была размещена информация об обнаружении ошибки в рабочем коде для CAA (Certification Authority Authorization). В результате ошибки  отозвано 3 млн выданных ранее TLS/SSL сертификатов. 

Причина ошибки в том, что с 25 июля прошлого года используемое ПО Boulder, которое проверяет сертификацию, некорректно отрабатывало повторную проверку. 

Отключение сертификатов произошло вчера 4 марта. Из 116 млн функционирующих на сегодня сертификатов Let's Encrypt “убрано” чуть более 3 млн (2.6%). Основная часть которых 1 млн. являются дубликатами для 1-го домена. В этот день все затронутые SSL  выдали соответствующую ошибку в веб-браузерах. 

Также сотрудники Let's Encrypt предоставили серийные номера ССЛ, которые выдавались ранее и пострадали. Ошибка получила название 2020.02.29 CAA Rechecking Incident.

Чтобы проверить серийный номер вашего бесплатного сертификата  в системах Linux/BSD используйте  команды: 

openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d : или «openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -noout -serial»

В случае возникновения ошибки, владельцам таких сайтов необходимо сделать запрос на смену сертификата на новый. На хостинге от ГиперХост бесплатные сертификаты Let's Encrypt обновляются автоматически. Но если у вас вдруг появилась ошибка в работе Let's Encrypt сертификата, пожалуйста, напишите запрос (тикет) в нашу техническую поддержку ГиперХост (если ваш сайт размещен на нашем хостинге).  

В свою очередь Центр сертификации Let's Encrypt отправил электронные письма всем пострадавшим от ошибки. В письме указана информация, что необходимо сделать обновление сертификата:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Также вы можете самостоятельно проверить свой SSL  по ссылке

Заказать платный сертификат