ProHoster > blog > Gweinyddiaeth > Mae LetsEncrypt yn bwriadu dirymu ei dystysgrifau oherwydd nam meddalwedd

Mae LetsEncrypt yn bwriadu dirymu ei dystysgrifau oherwydd nam meddalwedd

Mae LetsEncrypt yn bwriadu dirymu ei dystysgrifau oherwydd nam meddalwedd
Mae LetsEncrypt, sy'n cynnig tystysgrifau SSL am ddim ar gyfer amgryptio, yn cael ei orfodi i ddirymu rhai tystysgrifau.

Mae'r broblem yn gysylltiedig Γ’ gwall meddalwedd yn y meddalwedd rheoli Boulder a ddefnyddir i adeiladu'r CA. Yn nodweddiadol, mae gwiriad DNS o'r cofnod CAA yn digwydd ar yr un pryd Γ’ chadarnhau perchnogaeth parth, ac mae'r rhan fwyaf o danysgrifwyr yn derbyn tystysgrif yn syth ar Γ΄l dilysu, ond mae'r datblygwyr meddalwedd wedi ei gwneud fel bod canlyniad y dilysiad yn cael ei ystyried wedi'i basio o fewn y 30 diwrnod nesaf . Mewn rhai achosion, mae'n bosibl gwirio cofnodion yr eildro ychydig cyn i'r dystysgrif gael ei chyhoeddi, yn arbennig mae angen ail-wirio'r CAA o fewn 8 awr cyn ei chyhoeddi, felly mae'n rhaid ail-wirio unrhyw barth a ddilyswyd cyn y cyfnod hwn.

Beth yw'r camgymeriad? Os yw cais am dystysgrif yn cynnwys N parthau sydd angen gwiriad CAA dro ar Γ΄l tro, mae Boulder yn dewis un ohonynt ac yn ei wirio N gwaith. O ganlyniad, roedd yn bosibl cyhoeddi tystysgrif hyd yn oed os byddwch yn gosod cofnod CAA yn ddiweddarach (hyd at X+30 diwrnod) sy'n gwahardd rhoi tystysgrif LetsEncrypt.

Er mwyn gwirio tystysgrifau, mae'r cwmni wedi paratoi offeryn ar-leina fydd yn dangos adroddiad manwl.

Gall defnyddwyr uwch wneud popeth eu hunain gan ddefnyddio'r gorchmynion canlynol:

# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΎΡ‚ @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡŽΡ‚ΡΡ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ сСрвисы

Nesaf mae angen i chi edrych yma eich rhif cyfresol, ac os yw ar y rhestr, argymhellir adnewyddu'r dystysgrif(au).

I ddiweddaru tystysgrifau, gallwch ddefnyddio certbot:

certbot renew --force-renewal

Canfuwyd y broblem ar Chwefror 29, 2020; i ddatrys y broblem, ataliwyd cyhoeddi tystysgrifau o 3:10 UTC i 5:22 UTC. Yn Γ΄l yr ymchwiliad mewnol, gwnaed y gwall ar Orffennaf 25, 2019; bydd y cwmni'n darparu adroddiad manylach yn ddiweddarach.

UPD: efallai na fydd y gwasanaeth dilysu tystysgrif ar-lein yn gweithio o gyfeiriadau IP Rwsiaidd.

Ffynhonnell: hab.com

Ychwanegu sylw