LetsEncrypt, който предлага безплатни SSL сертификати за криптиране, е принуден да отмени някои сертификати.
Проблемът е свързан с в контролния софтуер Boulder, използван за изграждане на CA. Обикновено DNS проверката на CAA записа се извършва едновременно с потвърждаването на собствеността върху домейна и повечето абонати получават сертификат веднага след проверката, но разработчиците на софтуер са направили така, че резултатът от проверката да се счита за преминат в рамките на следващите 30 дни . В някои случаи е възможно да се проверят записите втори път непосредствено преди издаването на сертификата, по-специално CAA трябва да бъде повторно потвърдено в рамките на 8 часа преди издаването, така че всеки домейн, проверен преди този период, трябва да бъде повторно проверен.
каква е грешката Ако заявка за сертификат съдържа N домейна, които изискват повторна CAA проверка, Boulder избира един от тях и го проверява N пъти. В резултат на това беше възможно да издадете сертификат, дори ако по-късно (до X+30 дни) зададете CAA запис, който забранява издаването на LetsEncrypt сертификат.
За проверка на сертификати компанията е подготвила който ще покаже подробен отчет.
Напредналите потребители могат да направят всичко сами, като използват следните команди:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыСлед това трябва да погледнете вашия сериен номер и ако е в списъка, се препоръчва да подновите сертификата(ите).
За да актуализирате сертификати, можете да използвате certbot:
certbot renew --force-renewalПроблемът беше открит на 29 февруари 2020 г.; за разрешаване на проблема издаването на сертификати беше спряно от 3:10 UTC до 5:22 UTC. Според вътрешното разследване грешката е направена на 25 юли 2019 г., а по-подробен доклад компанията ще предостави по-късно.
UPD: услугата за онлайн проверка на сертификат може да не работи от руски IP адреси.
Източник: www.habr.com