Το LetsEncrypt, το οποίο προσφέρει δωρεάν πιστοποιητικά SSL για κρυπτογράφηση, αναγκάζεται να ανακαλέσει ορισμένα πιστοποιητικά.
Το πρόβλημα σχετίζεται με
Ποιο είναι το λάθος; Εάν ένα αίτημα πιστοποιητικού περιέχει N τομείς που απαιτούν επαναλαμβανόμενη επαλήθευση CAA, ο Boulder επιλέγει έναν από αυτούς και τον επαληθεύει N φορές. Ως αποτέλεσμα, ήταν δυνατή η έκδοση πιστοποιητικού ακόμη και αν αργότερα (έως X+30 ημέρες) ορίσετε μια εγγραφή CAA που απαγορεύει την έκδοση πιστοποιητικού LetsEncrypt.
Για την επαλήθευση των πιστοποιητικών, η εταιρεία έχει προετοιμάσει
Οι προχωρημένοι χρήστες μπορούν να κάνουν τα πάντα μόνοι τους χρησιμοποιώντας τις ακόλουθες εντολές:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Στη συνέχεια, πρέπει να κοιτάξετε
Για να ενημερώσετε τα πιστοποιητικά, μπορείτε να χρησιμοποιήσετε το certbot:
certbot renew --force-renewal
Το πρόβλημα εντοπίστηκε στις 29 Φεβρουαρίου 2020. Για την επίλυση του προβλήματος, η έκδοση πιστοποιητικών ανεστάλη από τις 3:10 UTC έως τις 5:22 UTC. Σύμφωνα με την εσωτερική έρευνα, το σφάλμα έγινε στις 25 Ιουλίου 2019 και η εταιρεία θα παράσχει λεπτομερέστερη αναφορά αργότερα.
UPD: η ηλεκτρονική υπηρεσία επαλήθευσης πιστοποιητικού ενδέχεται να μην λειτουργεί από ρωσικές διευθύνσεις IP.
Πηγή: www.habr.com