LetsEncrypt, das kostenlose SSL-Zertifikate zur Verschlüsselung anbietet, ist gezwungen, einige Zertifikate zu widerrufen.
Das Problem hängt damit zusammen in der Boulder-Steuerungssoftware, die zum Aufbau der CA verwendet wird. Typischerweise erfolgt die DNS-Verifizierung des CAA-Eintrags gleichzeitig mit der Bestätigung des Domänenbesitzes, und die meisten Abonnenten erhalten unmittelbar nach der Verifizierung ein Zertifikat, die Softwareentwickler haben jedoch dafür gesorgt, dass das Ergebnis der Verifizierung innerhalb der nächsten 30 Tage als bestanden gilt . In manchen Fällen ist es möglich, die Datensätze unmittelbar vor der Ausstellung des Zertifikats ein zweites Mal zu überprüfen. Insbesondere muss die CAA innerhalb von 8 Stunden vor der Ausstellung erneut überprüft werden, sodass jede vor diesem Zeitraum überprüfte Domain erneut überprüft werden muss.
Was ist der Fehler? Wenn eine Zertifikatsanforderung N Domänen enthält, die eine wiederholte CAA-Überprüfung erfordern, wählt Boulder eine davon aus und überprüft sie N-mal. Dadurch war es möglich, ein Zertifikat auch dann auszustellen, wenn Sie später (bis zu X+30 Tage) einen CAA-Eintrag setzten, der die Ausstellung eines LetsEncrypt-Zertifikats verbietet.
Zur Überprüfung von Zertifikaten hat das Unternehmen vorbereitet Daraufhin wird ein detaillierter Bericht angezeigt.
Fortgeschrittene Benutzer können mit den folgenden Befehlen alles selbst erledigen:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыAls nächstes müssen Sie nachsehen Ihre Seriennummer, und wenn sie in der Liste aufgeführt ist, wird empfohlen, das/die Zertifikat(e) zu erneuern.
Um Zertifikate zu aktualisieren, können Sie certbot verwenden:
certbot renew --force-renewalDas Problem wurde am 29. Februar 2020 festgestellt; zur Behebung des Problems wurde die Ausstellung von Zertifikaten von 3:10 UTC bis 5:22 UTC ausgesetzt. Der internen Untersuchung zufolge wurde der Fehler am 25. Juli 2019 begangen; das Unternehmen wird später einen detaillierteren Bericht vorlegen.
UPD: Der Online-Zertifikatsüberprüfungsdienst funktioniert möglicherweise nicht mit russischen IP-Adressen.
Source: habr.com