LetsEncrypt একটি সফ্টওয়্যার বাগের কারণে তার শংসাপত্রগুলি প্রত্যাহার করার পরিকল্পনা করেছে৷

LetsEncrypt, যা এনক্রিপশনের জন্য বিনামূল্যে SSL শংসাপত্র অফার করে, কিছু শংসাপত্র প্রত্যাহার করতে বাধ্য হয়৷

সমস্যা এর সাথে সম্পর্কিত সফ্টওয়্যার ত্রুটি সিএ তৈরি করতে ব্যবহৃত বোল্ডার কন্ট্রোল সফ্টওয়্যারে। সাধারণত, CAA রেকর্ডের DNS যাচাইকরণ ডোমেনের মালিকানার নিশ্চিতকরণের সাথে একযোগে ঘটে এবং বেশিরভাগ গ্রাহক যাচাইকরণের সাথে সাথেই একটি শংসাপত্র পায়, কিন্তু সফ্টওয়্যার বিকাশকারীরা এটি তৈরি করেছে যাতে যাচাইকরণের ফলাফল পরবর্তী 30 দিনের মধ্যে পাস করা হয় বলে বিবেচিত হয়। . কিছু ক্ষেত্রে, সার্টিফিকেট ইস্যু করার ঠিক আগে দ্বিতীয়বার রেকর্ড চেক করা সম্ভব, বিশেষ করে ইস্যু করার 8 ঘন্টার মধ্যে CAA পুনরায় যাচাই করা প্রয়োজন, তাই এই সময়ের আগে যাচাই করা যেকোন ডোমেনকে অবশ্যই পুনরায় যাচাই করতে হবে।

ভুল কি? যদি একটি শংসাপত্রের অনুরোধে N ডোমেন থাকে যার জন্য বারবার CAA যাচাইকরণের প্রয়োজন হয়, বোল্ডার তাদের মধ্যে একটি নির্বাচন করে এবং এটি N বার যাচাই করে। ফলস্বরূপ, একটি শংসাপত্র জারি করা সম্ভব হয়েছিল এমনকি যদি আপনি পরে (X+30 দিন পর্যন্ত) একটি CAA রেকর্ড সেট করেন যা একটি LetsEncrypt শংসাপত্র ইস্যু করা নিষিদ্ধ করে।

সার্টিফিকেট যাচাইয়ের জন্য প্রতিষ্ঠানটি প্রস্তুত করেছে অনলাইন টুলযা একটি বিস্তারিত প্রতিবেদন দেখাবে।

উন্নত ব্যবহারকারীরা নিম্নলিখিত কমান্ডগুলি ব্যবহার করে নিজেরাই সবকিছু করতে পারে:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

পরবর্তী আপনি তাকান প্রয়োজন এখানে আপনার ক্রমিক নম্বর, এবং যদি এটি তালিকায় থাকে, এটি শংসাপত্র(গুলি) পুনর্নবীকরণ করার সুপারিশ করা হয়।

সার্টিফিকেট আপডেট করতে, আপনি সার্টবট ব্যবহার করতে পারেন:

certbot renew --force-renewal

29 ফেব্রুয়ারী, 2020-এ সমস্যাটি পাওয়া গেছে; সমস্যা সমাধানের জন্য, সার্টিফিকেট প্রদান 3:10 UTC থেকে 5:22 UTC পর্যন্ত স্থগিত করা হয়েছিল। অভ্যন্তরীণ তদন্ত অনুসারে, ত্রুটিটি 25 জুলাই, 2019 এ করা হয়েছিল; কোম্পানিটি পরে আরও বিশদ প্রতিবেদন সরবরাহ করবে।

UPD: অনলাইন শংসাপত্র যাচাইকরণ পরিষেবা রাশিয়ান আইপি ঠিকানাগুলি থেকে কাজ নাও করতে পারে৷

উত্স: www.habr.com