LetsEncrypt, das kostenlose SSL-Zertifikate zur Verschlüsselung anbietet, ist gezwungen, einige Zertifikate zu widerrufen.
Das Problem hängt damit zusammen
Was ist der Fehler? Wenn eine Zertifikatsanforderung N Domänen enthält, die eine wiederholte CAA-Überprüfung erfordern, wählt Boulder eine davon aus und überprüft sie N-mal. Dadurch war es möglich, ein Zertifikat auch dann auszustellen, wenn Sie später (bis zu X+30 Tage) einen CAA-Eintrag setzten, der die Ausstellung eines LetsEncrypt-Zertifikats verbietet.
Zur Überprüfung von Zertifikaten hat das Unternehmen vorbereitet
Fortgeschrittene Benutzer können mit den folgenden Befehlen alles selbst erledigen:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Als nächstes müssen Sie nachsehen
Um Zertifikate zu aktualisieren, können Sie certbot verwenden:
certbot renew --force-renewal
Das Problem wurde am 29. Februar 2020 festgestellt; zur Behebung des Problems wurde die Ausstellung von Zertifikaten von 3:10 UTC bis 5:22 UTC ausgesetzt. Der internen Untersuchung zufolge wurde der Fehler am 25. Juli 2019 begangen; das Unternehmen wird später einen detaillierteren Bericht vorlegen.
UPD: Der Online-Zertifikatsüberprüfungsdienst funktioniert möglicherweise nicht mit russischen IP-Adressen.
Source: habr.com