Ang LetsEncrypt, nga nagtanyag og libre nga SSL nga mga sertipiko alang sa pag-encrypt, napugos sa pagbawi sa pipila ka mga sertipiko.
Ang problema may kalabutan sa sa Boulder control software nga gigamit sa pagtukod sa CA. Kasagaran, ang pag-verify sa DNS sa rekord sa CAA mahitabo dungan sa pagkumpirma sa pagpanag-iya sa domain, ug kadaghanan sa mga subscriber makadawat usa ka sertipiko dayon pagkahuman sa pag-verify, apan gihimo kini sa mga developer sa software aron ang resulta sa pag-verify maisip nga napasa sa sunod nga 30 ka adlaw. . Sa pipila ka mga kaso, posible nga susihon ang mga rekord sa ikaduha nga higayon sa wala pa ma-isyu ang sertipiko, labi na ang CAA kinahanglan nga ma-verify pag-usab sulod sa 8 ka oras sa wala pa ang pag-isyu, busa ang bisan unsang domain nga na-verify sa wala pa kini nga panahon kinahanglan nga ma-verify pag-usab.
Unsa ang sayop? Kung ang usa ka hangyo sa sertipiko adunay N domain nga nanginahanglan balik-balik nga pag-verify sa CAA, gipili ni Boulder ang usa niini ug gipamatud-an kini nga N ka beses. Ingon usa ka sangputanan, posible nga mag-isyu sa usa ka sertipiko bisan kung pagkahuman (hangtod sa X+30 ka adlaw) nagbutang usa ka rekord sa CAA nga nagdili sa pag-isyu sa usa ka sertipiko sa LetsEncrypt.
Aron mapamatud-an ang mga sertipiko, ang kompanya nag-andam nga magpakita sa usa ka detalyado nga taho.
Ang mga advanced nga tiggamit makahimo sa tanan sa ilang kaugalingon gamit ang mosunod nga mga sugo:
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°ΡΠΈΠ°Π½Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΠΎΡ @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡΠΈΠ½ΡΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡΠ½ΠΎ ΠΏΡΠΎΠ²Π΅ΡΡΡΡΡΡ ΠΈ Π΄ΡΡΠ³ΠΈΠ΅ ΡΠ΅ΡΠ²ΠΈΡΡSunod kinahanglan nimo pangitaon imong serial number, ug kung naa kini sa lista, girekomenda nga i-renew ang (mga) sertipiko.
Aron ma-update ang mga sertipiko, mahimo nimong gamiton ang certbot:
certbot renew --force-renewalAng problema nakit-an kaniadtong Pebrero 29, 2020; aron masulbad ang problema, ang pag-isyu sa mga sertipiko gisuspinde gikan sa 3:10 UTC hangtod 5:22 UTC. Sumala sa internal nga imbestigasyon, ang sayup nahimo kaniadtong Hulyo 25, 2019; ang kompanya maghatag usa ka mas detalyado nga taho sa ulahi.
UPD: ang serbisyo sa pag-verify sa online nga sertipiko mahimong dili molihok gikan sa mga adres sa IP sa Russia.
Source: www.habr.com