Let’s Encrypt, alan adı doğrulama ve düzenleme yazılımındaki bir hata nedeniyle 4 Mart Çarşamba günü 3 milyondan fazla sertifikayı iptal edecek.
Let’s Encrypt’in sertifika yetkilisi (CA) yazılımındaki bir hata, bazı sertifikaların ilişkili bir etki alanı için yapılandırılan Sertifika Yetki Yetkilendirmesi (CAA) aracılığıyla doğrulanmamasına neden oldu.
CAA, etki alanı yöneticilerinin söz konusu etki alanı için sertifika vermesine izin verilen sertifika yetkililerini kısıtlayan bir DNS kaydı oluşturmasına olanak tanıyan bir güvenlik özelliğidir.
Bu özelliğin kurallarının bir parçası olarak, yetkililer CAA kayıtlarını bir sertifika verilmeden önce en fazla 8 saat önce kontrol etmelidir.
CA yazılımlarında Boulder adı verilen bir hata, çok alanlı bir sertifikadaki bir alanın, bir kez kontrol edilen sertifikadaki tüm alan adlarından ziyade birçok kez kontrol edilmesine neden oldu. Bu, bazı etki alanları için doğru CAA denetimleri olmadan sertifikaların verilmesine neden oldu.
“Hata: Bir sertifika isteği CAA’nın yeniden denetlenmesini gerektiren N alan adlarını içerdiğinde, Boulder bir alan adı seçer ve N kez kontrol eder. Bunun anlamı, bir abonenin X zamanında bir alan adını doğrulaması ve CAA’nın X’in izin verdiği anda söz konusu alan adına ilişkin kayıtlar Let’s Encrypt’in yayınlanmasına izin verdiğinde, bir kullanıcı Let’s Encrypt tarafından verilmesini yasaklayan bu alan adına CAA kayıtları yüklese bile, abone bu alan adını içeren bir sertifikayı X + 30 güne kadar yayınlayabilir, ”
Bu nedenle bugün Let’s Encrypt şu anda geçerli olan 3.048.289 sertifikayı iptal edecek.
Etkilenenler için Let’s Encrypt, sertifikalarını geçersiz hale gelmeden önce yarına kadar yenilemesi gereken kullanıcılara e-posta gönderdi.
Alan adınızın bu hatadan etkilenip etkilenmediğini ve yenilenmesi gerekip gerekmediğini kontrol etmek için https://checkhost.unboundtest.com/ adresindeki aracı kullanabilirsiniz .
Etki alanı adınızı girdiğinizde sayfa size etkilenip etkilenmediğinizi söyleyecektir. Etkilenen kişilere aşağıdakine benzer bir mesaj gösterilecektir:
“Şu anda [hostname] üzerinde bulunan sertifikanın yenilenmesi gerekiyor, çünkü Let’s Encrypt CAA yeniden denetleme sorunundan etkileniyor. Seri numarası [seri numarası]. Sertifikanın yenilenmesine ilişkin talimatlar için ACME istemci belgelerinize bakın.”
Let’s Encrypt, kullanıcıların daha fazla bilgi için bu yardım belgesine bakmasını ve gerekirse ‘ Yardım forumlarını kullanmalarını önerir .