Let’s Encrypt zruší přes tři miliony vydaných TLS/SSL certifikátů. Rušení certifikátů začne již dnes 4.3.2020. My jsme na tuto věc již připraveni. Pojďme se podívat na to, proč se dané certifikáty ruší a jaké problémy mohou nastat těm, kteří tomu nevěnují pozornost a nebo o tom nevědí.

3 milióny  vydaných TLS/SSL certifikátů

Na svém blogu nejprve informovali o své chybě a poté vydali informace o tom, jak rušení bude probíhat. Celá akce se týká 2,6% vydaných certifikátů Let’s Encrypt, což odpovídá 3,048,289 certifikátů z celkového počtu cca 16mil. certifikátů.

 

Problém se týká i českých domén

V seznamu, který publikoval pan Ondřej Kokeš na GitHubu můžete vidět domény, kterých se to dle otestování týká. V seznamu domén, který uvádíme níže naleznete domény, které dle Alexa ranku mají nejvyšší návštěvnost mezi českými weby a chyba se jich týká a musí provést, nebo již provedli nové vygenerování certifikátů TLS/SSL.

 

1001hry.cz
100mega.cz
active24.cz
agel.cz
akropolis.cz
archiweb.cz
arfa.cz
artisan.cz
audigo.cz
autodoc.cz
autogames.cz
autokelly.cz
autouh.cz
autoweb.cz
bandzone.cz
bazar.cz
besttour.cz
blog.cz
brno.cz
bydleni.cz
cas.cz
centrum.cz
ceskatelevize.cz
ceskereality.cz
cpp.cz
csas.cz
cuni.cz
cvut.cz
dek.cz
disk.cz
dm.cz
drmax.cz
ekolo.cz
elit.cz
email.cz
firmy.cz
freevidea.cz
garaz.cz
gme.cz
gohome.cz
gopay.cz
gov.cz
gymkren.cz
horoskopy.cz
horux.cz
hoteltheatrino.cz
idnes.cz
internetbanka.cz
interprace.cz
iprima.cz
isotra.cz
isspolygr.cz
itesco.cz
itvar.cz
izus.cz
justnahrin.cz
kafe.cz
kaufland.cz
knife.cz
kompresory-chlazeni.cz
kosik.cz
krajskelisty.cz
kzvalmez.cz
labicom.cz
libimseti.cz
lide.cz
lingea.cz
ls-novinky.cz
lupa.cz
magistra.cz
mapy.cz
mistopisy.cz
moneta.cz
moravskereality.cz
muni.cz
mvcr.cz
mycrafts.cz
navratdoreality.cz
nic.cz
nova.cz
novinky.cz
o2.cz
o2chytraskola.cz
oabrno.cz
one3d.cz
parfemy.cz
pepco.cz
play.cz
posters.cz
postovnezdarma.cz
profikraft.cz
profizoo.cz
prozeny.cz
radio.cz
realitymix.cz
reedog.cz
ronnie.cz
root.cz
rozhlas.cz
sauto.cz
sbazar.cz
seznam.cz
seznamzpravy.cz
sharplayers.cz
slevykurzu.cz
smeny.cz
sms.cz
sousede.cz
sport.cz
sreality.cz
sssbrno.cz
sstebrno.cz
stob.cz
suenee.cz
super.cz
svitavy.cz
szn.cz
tamilgun.cz
televizeseznam.cz
tiscali.cz
toplist.cz
tork.cz
travian.cz
unicreditbank.cz
upol.cz
vareni.cz
vinegret.cz
vsb.cz
vse.cz
vutbr.cz
websnadno.cz
xtv.cz
yrno.cz
zbozi.cz
zcu.cz
znamylekar.cz
zonky.cz

 

Jak zjistím, jestli se mě chyba týká?

Využít můžete online script checkhost.unboundtest.com, který Vám zkontroluje, zda na Vaší doméně běží chybný certifikát a nebo Vám ukáže informaci, že je vše v pořádku a nemusíte se ničeho bát.

Správný výsledek může vypadat takto:

The certificate currently available on gigaserver.cz is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem.

 

Jak jsme problém vyřešili my?

Již včera došlo ke kompletnímu vygenerování všech certifikátů pro naše klienty, kteří u nás hostují a využívají našich služeb. Daná operce proběhla v rekordním čase a za 30 minut bylo vše hotové. Naši zákazníci tedy nepocítí žádné výpadky TLS/SSL díky rychlému zásahu našich administrátorů a především díky tomu, že jsme o této chybě věděli a zareagovali jsme na ni tímto způsobem.