LetsEncrypt، الذي يقدم شهادات SSL مجانية للتشفير، مضطر إلى إلغاء بعض الشهادات.
المشكلة مرتبطة بـ
ما هو الخطأ؟ إذا كان طلب الشهادة يحتوي على N من المجالات التي تتطلب التحقق المتكرر من CAA، فإن Boulder يختار واحدًا منها ويتحقق منها N مرات. ونتيجة لذلك، كان من الممكن إصدار شهادة حتى لو قمت لاحقًا (حتى X + 30 يومًا) بتعيين سجل CAA الذي يمنع إصدار شهادة LetsEncrypt.
للتحقق من الشهادات، أعدت الشركة
يمكن للمستخدمين المتقدمين القيام بكل شيء بأنفسهم باستخدام الأوامر التالية:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
التالي عليك أن تنظر
لتحديث الشهادات، يمكنك استخدام certbot:
certbot renew --force-renewal
تم العثور على المشكلة في 29 فبراير 2020؛ ولحل المشكلة، تم تعليق إصدار الشهادات من الساعة 3:10 بالتوقيت العالمي إلى الساعة 5:22 بالتوقيت العالمي. وبحسب التحقيق الداخلي، حدث الخطأ في 25 يوليو 2019، وستقدم الشركة تقريرًا أكثر تفصيلاً لاحقًا.
محدث: قد لا تعمل خدمة التحقق من الشهادات عبر الإنترنت من عناوين IP الروسية.
المصدر: www.habr.com