Ang LetsEncrypt, nga nagtanyag og libre nga SSL nga mga sertipiko alang sa pag-encrypt, napugos sa pagbawi sa pipila ka mga sertipiko.
Ang problema may kalabutan sa
Unsa ang sayop? Kung ang usa ka hangyo sa sertipiko adunay N domain nga nanginahanglan balik-balik nga pag-verify sa CAA, gipili ni Boulder ang usa niini ug gipamatud-an kini nga N ka beses. Ingon usa ka sangputanan, posible nga mag-isyu sa usa ka sertipiko bisan kung pagkahuman (hangtod sa X+30 ka adlaw) nagbutang usa ka rekord sa CAA nga nagdili sa pag-isyu sa usa ka sertipiko sa LetsEncrypt.
Aron mapamatud-an ang mga sertipiko, ang kompanya nag-andam
Ang mga advanced nga tiggamit makahimo sa tanan sa ilang kaugalingon gamit ang mosunod nga mga sugo:
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°ΡΠΈΠ°Π½Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΠΎΡ @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡΠΈΠ½ΡΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡΠ½ΠΎ ΠΏΡΠΎΠ²Π΅ΡΡΡΡΡΡ ΠΈ Π΄ΡΡΠ³ΠΈΠ΅ ΡΠ΅ΡΠ²ΠΈΡΡ
Sunod kinahanglan nimo pangitaon
Aron ma-update ang mga sertipiko, mahimo nimong gamiton ang certbot:
certbot renew --force-renewal
Ang problema nakit-an kaniadtong Pebrero 29, 2020; aron masulbad ang problema, ang pag-isyu sa mga sertipiko gisuspinde gikan sa 3:10 UTC hangtod 5:22 UTC. Sumala sa internal nga imbestigasyon, ang sayup nahimo kaniadtong Hulyo 25, 2019; ang kompanya maghatag usa ka mas detalyado nga taho sa ulahi.
UPD: ang serbisyo sa pag-verify sa online nga sertipiko mahimong dili molihok gikan sa mga adres sa IP sa Russia.
Source: www.habr.com