LetsEncrypt, som tilbyder gratis SSL-certifikater til kryptering, er tvunget til at tilbagekalde nogle certifikater.
Problemet er relateret til i Boulder-kontrolsoftwaren, der blev brugt til at bygge CA. Typisk sker DNS-verifikationen af CAA-posten samtidig med bekræftelsen af domæneejerskab, og de fleste abonnenter modtager et certifikat umiddelbart efter verifikation, men softwareudviklerne har gjort det sådan, at resultatet af verifikationen anses for bestået inden for de næste 30 dage . I nogle tilfælde er det muligt at kontrollere registreringer en anden gang lige før certifikatet udstedes, især skal CAA genverificeres inden for 8 timer før udstedelse, så ethvert domæne, der er verificeret før denne periode, skal genverificeres.
Hvad er fejlen? Hvis en certifikatanmodning indeholder N domæner, der kræver gentagen CAA-verifikation, vælger Boulder et af dem og verificerer det N gange. Som følge heraf var det muligt at udstede et certifikat, selvom du senere (op til X+30 dage) satte en CAA-record, der forbyder udstedelse af et LetsEncrypt-certifikat.
For at verificere certifikater har virksomheden udarbejdet som vil vise en detaljeret rapport.
Avancerede brugere kan gøre alt selv ved hjælp af følgende kommandoer:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыDernæst skal du kigge dit serienummer, og hvis det er på listen, anbefales det at forny certifikatet/certifikaterne.
For at opdatere certifikater kan du bruge certbot:
certbot renew --force-renewalProblemet blev fundet den 29. februar 2020. For at løse problemet blev udstedelsen af certifikater suspenderet fra 3:10 UTC til 5:22 UTC. Ifølge den interne undersøgelse er fejlen begået den 25. juli 2019, selskabet vil give en mere detaljeret rapport senere.
UPD: Tjenesten til online certifikatbekræftelse fungerer muligvis ikke fra russiske IP-adresser.
Kilde: www.habr.com