Şifrələmə üçün pulsuz SSL sertifikatları təklif edən LetsEncrypt bəzi sertifikatları ləğv etmək məcburiyyətində qalır.
Problem ilə əlaqədardır
Səhv nədir? Sertifikat sorğusunda təkrar CAA yoxlaması tələb edən N domen varsa, Boulder onlardan birini seçir və onu N dəfə yoxlayır. Nəticədə, hətta sonradan (X+30 günə qədər) LetsEncrypt sertifikatının verilməsini qadağan edən CAA rekordu qoysanız belə, sertifikat vermək mümkün oldu.
Sertifikatları yoxlamaq üçün şirkət hazırlamışdır
Qabaqcıl istifadəçilər aşağıdakı əmrlərdən istifadə edərək hər şeyi özləri edə bilərlər:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Sonra baxmaq lazımdır
Sertifikatları yeniləmək üçün certbot-dan istifadə edə bilərsiniz:
certbot renew --force-renewal
Problem 29 fevral 2020-ci ildə aşkar edildi; problemi həll etmək üçün sertifikatların verilməsi 3:10 UTC-dən 5:22 UTC-yə qədər dayandırıldı. Daxili araşdırmaya görə, səhv 25 iyul 2019-cu ildə edilib, şirkət daha ətraflı hesabatı daha sonra təqdim edəcək.
UPD: onlayn sertifikat yoxlama xidməti Rusiya IP ünvanlarından işləməyə bilər.
Mənbə: www.habr.com