Let's Encryptは3月3日(米国時間)、「Revoking certain certificates on March 4 - Help - Let's Encrypt Community Support」において、2020年3月4日(協定世界時) 00時00分から一部の証明書を強制的に無効化すると発表した。

CAA再チェックの機能にバグがあったことに原因があり、Let's Encrypt証明書全体の約2.6%が強制無効化の対象になるとされている。Let's Encryptで現在アクティブな証明書は1億1,600万個ほどで、そのうち305万弱ほどの証明書が強制無効化の対象となる。

Revoking certain certificates on March 4 - Help - Let's Encrypt Community Support

強制無効化の原因となったバグは次のページに概要が掲載されている。

2020.02.29 CAA Rechecking Bug - Incidents - Let's Encrypt Community Support

影響を受けるLet's Encrypt証明書に関するデータは、次のページからダウンロードすることができる。

Download affected certificate serials for 2020.02.29 CAA Rechecking Incident - Let's Encrypt - Free SSL/TLS Certificates

Download affected certificate serials for 2020.02.29 CAA Rechecking Incident - Let's Encrypt - Free SSL/TLS Certificates

Webサーバで使用しているLet's Encrypt証明書のシリアル番号は、次のようにopensslコマンドを実行することで表示させることができる。

openssl s_client -connect Webサーバ名:443 -servername Webサーバ名 -showcerts /dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :

上記のページからダウンロードしてきたデータに該当するシリアル番号が含まれているかどうかで、使っているLet's Encryptの証明書が問題に該当しているかどうかを調べることができる。

Let's Encryptは、今回の問題に該当しているユーザーに電子メールを送付して通知を行ったとしている。問題に該当する証明書を使い続けるには、証明書を更新する必要がある。Let's Encryptからの通知に気がついていない場合、3月4日以降に証明書が無効になるため注意が必要。