Центр сертификации Let’s Encrypt готовится отозвать более 3 млн SSL-сертификатов. Такие сертификаты позволяют подключать безопасную передачу данных по защищенному протоколу HTTPS. Переходить на него рекомендуют как разработчики ПО, так и поисковики.

Отзыв сертификатов от Let’s Encrypt произошел 4 марта, в 22:00 по киевскому времени и может повлиять на работоспособность сайтов. Современные браузеры препятствуют открытию ресурсов по протоколу HTTPS, если их сертификат отозван, просрочен или недействителен. При этом, по оценкам Let’s Encrypt, уже 91% всех страниц по умолчанию загружаются в HTTPS-режиме.

В чем причина

Отзыв связан с ошибкой в управляющем ПО Boulder. Его используют для проверки доменов перед выдачей сертификатов.

С лета 2019 года в Boulder «сломалась» валидация доменных имен, которым выдают сертификаты.

Баг: когда запрос сертификата содержит N доменных имен, требующих перепроверки CAA, Boulder возьмет одно доменное имя и проверит его N раз. На практике это значит, что, если подписчик проверит доменное имя в день X, и записи CAA для этого домена в день X будут разрешать Let’s Encrypt выпускать сертификат, подписчик сможет выпустить сертификат, содержащий это доменное имя до X+30 дней, даже если позднее для этого доменного имени будут установлены записи CAA, запрещающие Let’s Encrypt выпускать сертификаты.

По материалам SecurityLab

В Let’s Encrypt пишут, что не заметили злоупотреблений ситуацией, но решили отозвать часть ключей. Этого требуют отраслевые стандарты безопасности.

Из 116 млн активных сертификатов, перестанут работать 2,6% или 3 048 289. Из них около 1 млн составляют дубликаты, их выпускали для тех же доменов и поддоменов. То есть фактически под угрозой около 2 млн сайтов.

Что делать

Пострадавшим от ошибки вебмастерам уже рассылают уведомления на почту. Но можно проверить безопасность своего сайта и самостоятельно:

• Все серийные номера уязвимых сертификатов расположены по этой ссылке. Также открыта ветка на форуме Let’s Encrypt.
• В этом сервисе можно написать домен — и система автоматически укажет, есть ли проблемы с сертификатом.
• Для проверки большого количества адресов можно использовать этот парсер с GitHub.
• Инструкции по получению нового сертификата есть на сайте Let’s Encrypt.