LetsEncrypt, který nabízí bezplatné SSL certifikáty pro šifrování, je nucen zrušit některé certifikáty.
Problém souvisí s v řídicím softwaru Boulder používaném k sestavení CA. Ověření DNS záznamu CAA obvykle probíhá současně s potvrzením vlastnictví domény a většina předplatitelů obdrží certifikát ihned po ověření, ale vývojáři softwaru to udělali tak, že výsledek ověření je považován za schválený během následujících 30 dnů. . V některých případech je možné zkontrolovat záznamy podruhé těsně před vydáním certifikátu, zejména je potřeba CAA znovu ověřit do 8 hodin před vydáním, takže jakákoli doména ověřená před touto lhůtou musí být znovu ověřena.
v čem je chyba? Pokud žádost o certifikát obsahuje N domén, které vyžadují opakované ověření CAA, Boulder jednu z nich vybere a Nkrát ji ověří. Díky tomu bylo možné vystavit certifikát, i když jste později (až X+30 dní) nastavili CAA záznam, který vydání LetsEncrypt certifikátu zakazuje.
Pro ověření certifikátů společnost připravila který zobrazí podrobnou zprávu.
Pokročilí uživatelé mohou dělat vše sami pomocí následujících příkazů:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыDále se musíte podívat vaše sériové číslo, a pokud je na seznamu, doporučujeme certifikát(y) obnovit.
Chcete-li aktualizovat certifikáty, můžete použít certbot:
certbot renew --force-renewalProblém byl zjištěn 29. února 2020, pro vyřešení problému bylo pozastaveno vydávání certifikátů od 3:10 UTC do 5:22 UTC. Podle interního šetření k chybě došlo 25. července 2019, podrobnější zprávu společnost poskytne později.
UPD: online služba ověřování certifikátů nemusí fungovat z ruských IP adres.
Zdroj: www.habr.com