LetsEncrypt, som tilbyder gratis SSL-certifikater til kryptering, er tvunget til at tilbagekalde nogle certifikater.
Problemet er relateret til
Hvad er fejlen? Hvis en certifikatanmodning indeholder N domæner, der kræver gentagen CAA-verifikation, vælger Boulder et af dem og verificerer det N gange. Som følge heraf var det muligt at udstede et certifikat, selvom du senere (op til X+30 dage) satte en CAA-record, der forbyder udstedelse af et LetsEncrypt-certifikat.
For at verificere certifikater har virksomheden udarbejdet
Avancerede brugere kan gøre alt selv ved hjælp af følgende kommandoer:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Dernæst skal du kigge
For at opdatere certifikater kan du bruge certbot:
certbot renew --force-renewal
Problemet blev fundet den 29. februar 2020. For at løse problemet blev udstedelsen af certifikater suspenderet fra 3:10 UTC til 5:22 UTC. Ifølge den interne undersøgelse er fejlen begået den 25. juli 2019, selskabet vil give en mere detaljeret rapport senere.
UPD: Tjenesten til online certifikatbekræftelse fungerer muligvis ikke fra russiske IP-adresser.
Kilde: www.habr.com