LetsEncrypt, kiu ofertas senpagajn SSL-atestilojn por ĉifrado, estas devigita revoki iujn atestojn.
La problemo rilatas al
Kio estas la eraro? Se atestilpeto enhavas N domajnojn kiuj postulas ripetan CAA-konfirmon, Boulder elektas unu el ili kaj kontrolas ĝin N fojojn. Rezulte, eblis elsendi atestilon eĉ se vi poste (ĝis X+30 tagoj) starigis CAA-rekordon, kiu malpermesas emision de LetsEncrypt-atestilo.
Por kontroli atestojn, la kompanio preparis
Altnivelaj uzantoj povas fari ĉion mem uzante la jenajn komandojn:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Poste vi devas rigardi
Por ĝisdatigi atestojn, vi povas uzi certbot:
certbot renew --force-renewal
La problemo estis trovita la 29-an de februaro 2020; por solvi la problemon, la emisio de atestiloj estis suspendita de 3:10 UTC ĝis 5:22 UTC. Laŭ la interna enketo, la eraro estis farita la 25-an de julio 2019; la kompanio provizos pli detalan raporton poste.
UPD: la reta atestila konfirmservo eble ne funkcias de rusaj IP-adresoj.
fonto: www.habr.com