ProHoster > بلوق > إدارة > تخطط LetsEncrypt لإلغاء شهاداتها بسبب خطأ برمجي

تخطط LetsEncrypt لإلغاء شهاداتها بسبب خطأ برمجي

تخطط LetsEncrypt لإلغاء شهاداتها بسبب خطأ برمجي
LetsEncrypt، الذي يقدم شهادات SSL مجانية للتشفير، مضطر إلى إلغاء بعض الشهادات.

المشكلة مرتبطة بـ خطأ في البرنامج في برنامج التحكم Boulder المستخدم لبناء CA. عادة، يتم التحقق من DNS لسجل CAA في وقت واحد مع تأكيد ملكية النطاق، ويتلقى معظم المشتركين شهادة مباشرة بعد التحقق، ولكن مطوري البرامج قاموا بذلك بحيث تعتبر نتيجة التحقق قد تم تمريرها خلال الثلاثين يومًا القادمة . في بعض الحالات، من الممكن التحقق من السجلات مرة ثانية قبل إصدار الشهادة مباشرة، وعلى وجه الخصوص، يجب إعادة التحقق من CAA خلال 30 ساعات قبل الإصدار، لذلك يجب إعادة التحقق من أي نطاق تم التحقق منه قبل هذه الفترة.

ما هو الخطأ؟ إذا كان طلب الشهادة يحتوي على N من المجالات التي تتطلب التحقق المتكرر من CAA، فإن Boulder يختار واحدًا منها ويتحقق منها N مرات. ونتيجة لذلك، كان من الممكن إصدار شهادة حتى لو قمت لاحقًا (حتى X + 30 يومًا) بتعيين سجل CAA الذي يمنع إصدار شهادة LetsEncrypt.

للتحقق من الشهادات، أعدت الشركة أداة على الانترنتوالتي سوف تظهر تقريرا مفصلا.

يمكن للمستخدمين المتقدمين القيام بكل شيء بأنفسهم باستخدام الأوامر التالية:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

التالي عليك أن تنظر هنا الرقم التسلسلي الخاص بك، وإذا كان موجودًا في القائمة، فمن المستحسن تجديد الشهادة (الشهادات).

لتحديث الشهادات، يمكنك استخدام certbot:

certbot renew --force-renewal

تم العثور على المشكلة في 29 فبراير 2020؛ ولحل المشكلة، تم تعليق إصدار الشهادات من الساعة 3:10 بالتوقيت العالمي إلى الساعة 5:22 بالتوقيت العالمي. وبحسب التحقيق الداخلي، حدث الخطأ في 25 يوليو 2019، وستقدم الشركة تقريرًا أكثر تفصيلاً لاحقًا.

محدث: قد لا تعمل خدمة التحقق من الشهادات عبر الإنترنت من عناوين IP الروسية.

المصدر: www.habr.com

إضافة تعليق