LetsEncrypt, que ofrece certificados SSL gratuitos para cifrado, se ve obligado a revocar algunos certificados.
El problema está relacionado con
¿Cuál es el error? Si una solicitud de certificado contiene N dominios que requieren verificación CAA repetida, Boulder selecciona uno de ellos y lo verifica N veces. Como resultado, fue posible emitir un certificado incluso si posteriormente (hasta X+30 días) estableció un registro CAA que prohíbe la emisión de un certificado LetsEncrypt.
Para verificar los certificados, la empresa ha preparado
Los usuarios avanzados pueden hacer todo ellos mismos usando los siguientes comandos:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Lo siguiente que debes mirar
Para actualizar certificados, puede utilizar certbot:
certbot renew --force-renewal
El problema se encontró el 29 de febrero de 2020; para solucionarlo se suspendió la emisión de certificados desde las 3:10 UTC hasta las 5:22 UTC. Según la investigación interna, el error se cometió el 25 de julio de 2019; la empresa entregará un informe más detallado más adelante.
UPD: es posible que el servicio de verificación de certificados en línea no funcione desde direcciones IP rusas.
Fuente: habr.com