Το LetsEncrypt, το οποίο προσφέρει δωρεάν πιστοποιητικά SSL για κρυπτογράφηση, αναγκάζεται να ανακαλέσει ορισμένα πιστοποιητικά.
Το πρόβλημα σχετίζεται με στο λογισμικό διαχείρισης Boulder που χρησιμοποιείται για τη δημιουργία της ΑΠ. Συνήθως, η επαλήθευση DNS της εγγραφής CAA πραγματοποιείται ταυτόχρονα με την επιβεβαίωση της ιδιοκτησίας τομέα και οι περισσότεροι συνδρομητές λαμβάνουν ένα πιστοποιητικό αμέσως μετά την επαλήθευση, αλλά οι προγραμματιστές λογισμικού το έχουν κάνει έτσι ώστε το αποτέλεσμα της επαλήθευσης να θεωρείται επικυρωμένο εντός των επόμενων 30 ημερών . Σε ορισμένες περιπτώσεις, είναι δυνατός ο έλεγχος των εγγραφών για δεύτερη φορά ακριβώς πριν από την έκδοση του πιστοποιητικού, ιδιαίτερα η CAA πρέπει να επαληθευτεί εκ νέου εντός 8 ωρών πριν από την έκδοση, επομένως κάθε τομέας που επαληθεύεται πριν από αυτήν την περίοδο πρέπει να επαληθευτεί εκ νέου.
Ποιο είναι το λάθος; Εάν ένα αίτημα πιστοποιητικού περιέχει N τομείς που απαιτούν επαναλαμβανόμενη επαλήθευση CAA, ο Boulder επιλέγει έναν από αυτούς και τον επαληθεύει N φορές. Ως αποτέλεσμα, ήταν δυνατή η έκδοση πιστοποιητικού ακόμη και αν αργότερα (έως X+30 ημέρες) ορίσετε μια εγγραφή CAA που απαγορεύει την έκδοση πιστοποιητικού LetsEncrypt.
Για την επαλήθευση των πιστοποιητικών, η εταιρεία έχει προετοιμάσει που θα δείξει αναλυτική αναφορά.
Οι προχωρημένοι χρήστες μπορούν να κάνουν τα πάντα μόνοι τους χρησιμοποιώντας τις ακόλουθες εντολές:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыΣτη συνέχεια, πρέπει να κοιτάξετε τον αύξοντα αριθμό σας και, εάν είναι στη λίστα, συνιστάται η ανανέωση του πιστοποιητικού.
Για να ενημερώσετε τα πιστοποιητικά, μπορείτε να χρησιμοποιήσετε το certbot:
certbot renew --force-renewalΤο πρόβλημα εντοπίστηκε στις 29 Φεβρουαρίου 2020. Για την επίλυση του προβλήματος, η έκδοση πιστοποιητικών ανεστάλη από τις 3:10 UTC έως τις 5:22 UTC. Σύμφωνα με την εσωτερική έρευνα, το σφάλμα έγινε στις 25 Ιουλίου 2019 και η εταιρεία θα παράσχει λεπτομερέστερη αναφορά αργότερα.
UPD: η ηλεκτρονική υπηρεσία επαλήθευσης πιστοποιητικού ενδέχεται να μην λειτουργεί από ρωσικές διευθύνσεις IP.
Πηγή: www.habr.com