Egy 2020. február 29-én felfedezett hiba miatt, a 2020. március 1. előtt kiadott Let’s Encrypt tanúsítványok egy jelentős részét meg kell újítani 2020. március 4-ig.
A Let’S Encrypt mérnökei 2020. február 29-én fedezték fel azt a CCA (Certification Authority Authorization, Hitelesítő Hatósági Engedélyezés) hibát, amely lehetővé teszi, hogy akkor is sikeresen létre lehetett hozni egy tanúsítványt a Let’s Encrypt segítségével, ha azt a domain DNS CCA bejegyzése megtiltja. A hibát 2 órán belül elhárították, de egy bizonyos:
A hibát okozó certifikáció Let’s Encrypt felöli hitelesítése 2020. március 4-én visszavonásra kerül, ezért előfordulhat, hogy az adott SSL tanúsítványt használó oldal „nem biztonságosként” kerül megjelölésre a böngészőkben és nem lehet „hagyományos módon” elérni azokat.
A megújításról értesítést kapnak az érintett SSL tanúsítvány tulajdonosai, de kétféle módon is ellenőrizhetjük ezen felül, hogy érintettek-e a domain-eink:
1, ellenőrizhetjük az alábbi paranccsal (a „letsencrypt.org” helyére kerül az ellenőrizni kívánt domain neve)
curl -XPOST -d 'fqdn=letsencrypt.org' https://checkhost.unboundtest.com/checkhost
Így néz ki egy érintett (smartopert.com) és egy nem érintett (diysmarthome.hu) domain ellenőrzése:
2, A Let’s Encrypt kiadott egy listát, amiben rákereshetünk az „account ID” alapján a domain-einkre.
Ha nagyobb mennyiségű somain-t szeretnénk ellenőrizni, akkor már létezik rá eszköz, amit a Let’s Encrypt ajánl.
Ha érintettek vagyunk, akkor az alábbi paranccsal kényszeríthetjük a frissítésre a certbot-ot(figyeljünk a parancs kiadásakor a megfelelő felhasználói jogosultságokra):
certbot renew --force-renewal
Ezzel visszaállíthatjuk a rendet az oldalaink felett