ፕሮሆስተር > ጦማር > አስተዳደር > LetsEncrypt በሶፍትዌር ስህተት ምክንያት የምስክር ወረቀቶቹን ለመሻር አቅዷል

LetsEncrypt በሶፍትዌር ስህተት ምክንያት የምስክር ወረቀቶቹን ለመሻር አቅዷል

LetsEncrypt በሶፍትዌር ስህተት ምክንያት የምስክር ወረቀቶቹን ለመሻር አቅዷል
ለመመስጠር ነፃ የSSL ሰርተፍኬቶችን የሚያቀርበው LetsEncrypt አንዳንድ የምስክር ወረቀቶችን ለመሻር ተገድዷል።

ችግሩ ከ ጋር የተያያዘ ነው። የሶፍትዌር ስህተት CAን ለመገንባት ጥቅም ላይ በሚውለው የቦልደር መቆጣጠሪያ ሶፍትዌር ውስጥ። በተለምዶ የ CAA መዝገብ የዲ ኤን ኤስ ማረጋገጫ የጎራ ባለቤትነት ማረጋገጫ ጋር በተመሳሳይ ጊዜ ይከሰታል ፣ እና አብዛኛዎቹ ተመዝጋቢዎች ከተረጋገጠ በኋላ ወዲያውኑ የምስክር ወረቀት ይቀበላሉ ፣ ግን የሶፍትዌር ገንቢዎች የማረጋገጫው ውጤት በሚቀጥሉት 30 ቀናት ውስጥ እንደተላለፈ ይቆጠራል። . በአንዳንድ ሁኔታዎች የምስክር ወረቀቱ ከመሰጠቱ በፊት ለሁለተኛ ጊዜ መዝገቦችን ማረጋገጥ ይቻላል በተለይም CAA ከመውጣቱ በፊት በ 8 ሰዓታት ውስጥ እንደገና ማረጋገጥ አለበት ፣ ስለሆነም ከዚህ ጊዜ በፊት የተረጋገጠ ማንኛውም ጎራ እንደገና መረጋገጥ አለበት።

ስህተቱ ምንድን ነው? የእውቅና ማረጋገጫ ጥያቄ ተደጋጋሚ የCAA ማረጋገጫ የሚያስፈልጋቸው N ጎራዎችን ከያዘ፣ Boulder ከመካከላቸው አንዱን መርጦ N ጊዜ ያረጋግጣል። በዚህ ምክንያት፣ በኋላ (እስከ X+30 ቀናት) የLetsEncrypt ሰርተፍኬት መስጠትን የሚከለክል የ CAA መዝገብ ቢያዘጋጁም የምስክር ወረቀት መስጠት ተችሏል።

የምስክር ወረቀቶችን ለማረጋገጥ, ኩባንያው አዘጋጅቷል የመስመር ላይ መሳሪያዝርዝር ዘገባ ያሳያል።

የላቁ ተጠቃሚዎች የሚከተሉትን ትዕዛዞች በመጠቀም ሁሉንም ነገር ራሳቸው ማድረግ ይችላሉ።

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

በመቀጠል መመልከት ያስፈልግዎታል እዚህ የመለያ ቁጥርዎ፣ እና በዝርዝሩ ላይ ካለ፣ የምስክር ወረቀቱን(ቹን) ለማደስ ይመከራል።

የምስክር ወረቀቶችን ለማዘመን፣ የሰርትቦትን መጠቀም ይችላሉ፡-

certbot renew --force-renewal

ችግሩ የተገኘው በፌብሩዋሪ 29፣ 2020 ነው፤ ችግሩን ለመፍታት የምስክር ወረቀቶች መስጠት ከ3፡10 UTC እስከ 5፡22 UTC ድረስ ታግዷል። በውስጥ ምርመራው መሰረት ስህተቱ የተፈፀመው እ.ኤ.አ. ጁላይ 25 ቀን 2019 ነው ። ኩባንያው በኋላ የበለጠ ዝርዝር ዘገባ ያቀርባል ።

UPD: የመስመር ላይ የምስክር ወረቀት ማረጋገጫ አገልግሎት ከሩሲያ አይፒ አድራሻዎች ላይሰራ ይችላል.

ምንጭ: hab.com

አስተያየት ያክሉ