LetsEncrypt, chì offre certificati SSL gratuiti per a criptografia, hè obligatu à revocà certi certificati.
U prublema hè ligata à in u software di gestione Boulder utilizatu per custruisce u CA. Di genere, a verificazione DNS di u registru CAA si trova simultaneamente cù a cunferma di a pruprietà di u duminiu, è a maiò parte di l'abbonati ricevenu un certificatu immediatamente dopu a verificazione, ma i sviluppatori di u software anu fattu cusì chì u risultatu di a verificazione hè cunsideratu passatu in i prossimi 30 ghjorni. . In certi casi, hè pussibule di cuntrollà i registri una seconda volta ghjustu prima di u certificatu hè emessu, in particulare u CAA deve esse verificatu in 8 ore prima di l'emissione, cusì ogni duminiu verificatu prima di stu periodu deve esse verificatu.
Chì ghjè u sbagliu ? Se una dumanda di certificatu cuntene N domini chì necessitanu una verificazione CAA ripetuta, Boulder sceglie unu di elli è verifica N volte. In u risultatu, era pussibule di emette un certificatu ancu s'ellu più tardi (finu à X + 30 ghjorni) hà stabilitu un record CAA chì pruibisce l'emissione di un certificatu LetsEncrypt.
Per verificà i certificati, a cumpagnia hà preparatu chì mostrarà un rapportu detallatu.
L'utilizatori avanzati ponu fà tuttu per sè stessu utilizendu i seguenti cumandamenti:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыDopu avete bisognu à circà u vostru numeru di seriale, è s'ellu hè nantu à a lista, hè cunsigliatu di rinnuvà u certificatu (s).
Per aghjurnà i certificati, pudete aduprà certbot:
certbot renew --force-renewalU prublema hè statu trovu u 29 di ferraghju 2020; per risolve u prublema, l'emissione di certificati hè stata sospesa da 3:10 UTC à 5:22 UTC. Sicondu l'investigazione interna, l'errore hè statu fattu u 25 di lugliu di u 2019; a cumpagnia furnisce un rapportu più detallatu dopu.
UPD: u serviziu di verificazione di certificatu in linea ùn pò micca travaglià da l'indirizzi IP russi.
Source: www.habr.com