LetsEncrypt, който предлага безплатни SSL сертификати за криптиране, е принуден да отмени някои сертификати.
Проблемът е свързан с
каква е грешката Ако заявка за сертификат съдържа N домейна, които изискват повторна CAA проверка, Boulder избира един от тях и го проверява N пъти. В резултат на това беше възможно да издадете сертификат, дори ако по-късно (до X+30 дни) зададете CAA запис, който забранява издаването на LetsEncrypt сертификат.
За проверка на сертификати компанията е подготвила
Напредналите потребители могат да направят всичко сами, като използват следните команди:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
След това трябва да погледнете
За да актуализирате сертификати, можете да използвате certbot:
certbot renew --force-renewal
Проблемът беше открит на 29 февруари 2020 г.; за разрешаване на проблема издаването на сертификати беше спряно от 3:10 UTC до 5:22 UTC. Според вътрешното разследване грешката е направена на 25 юли 2019 г., а по-подробен доклад компанията ще предостави по-късно.
UPD: услугата за онлайн проверка на сертификат може да не работи от руски IP адреси.
Източник: www.habr.com