Şifrələmə üçün pulsuz SSL sertifikatları təklif edən LetsEncrypt bəzi sertifikatları ləğv etmək məcburiyyətində qalır.
Problem ilə əlaqədardır CA qurmaq üçün istifadə edilən Boulder idarəetmə proqramında. Tipik olaraq, CAA qeydinin DNS yoxlanılması domen sahibliyinin təsdiqi ilə eyni vaxtda baş verir və əksər abunəçilər yoxlamadan dərhal sonra sertifikat alırlar, lakin proqram tərtibatçıları bunu elə ediblər ki, yoxlamanın nəticəsi növbəti 30 gün ərzində keçilmiş hesab edilsin. . Bəzi hallarda, sertifikatın verilməsindən dərhal əvvəl qeydləri ikinci dəfə yoxlamaq mümkündür, xüsusən CAA-nın verilməsindən əvvəl 8 saat ərzində yenidən yoxlanılması lazımdır, ona görə də bu müddətdən əvvəl təsdiqlənmiş hər hansı bir domen yenidən yoxlanılmalıdır.
Səhv nədir? Sertifikat sorğusunda təkrar CAA yoxlaması tələb edən N domen varsa, Boulder onlardan birini seçir və onu N dəfə yoxlayır. Nəticədə, hətta sonradan (X+30 günə qədər) LetsEncrypt sertifikatının verilməsini qadağan edən CAA rekordu qoysanız belə, sertifikat vermək mümkün oldu.
Sertifikatları yoxlamaq üçün şirkət hazırlamışdır ətraflı hesabat göstərəcək.
Qabaqcıl istifadəçilər aşağıdakı əmrlərdən istifadə edərək hər şeyi özləri edə bilərlər:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыSonra baxmaq lazımdır seriya nömrənizi göstərin və əgər o siyahıdadırsa, sertifikat(lar)ı yeniləmək tövsiyə olunur.
Sertifikatları yeniləmək üçün certbot-dan istifadə edə bilərsiniz:
certbot renew --force-renewalProblem 29 fevral 2020-ci ildə aşkar edildi; problemi həll etmək üçün sertifikatların verilməsi 3:10 UTC-dən 5:22 UTC-yə qədər dayandırıldı. Daxili araşdırmaya görə, səhv 25 iyul 2019-cu ildə edilib, şirkət daha ətraflı hesabatı daha sonra təqdim edəcək.
UPD: onlayn sertifikat yoxlama xidməti Rusiya IP ünvanlarından işləməyə bilər.
Mənbə: www.habr.com