LetsEncrypt, que ofrece certificados SSL gratuitos para cifrado, se ve obligado a revocar algunos certificados.
El problema está relacionado con en el software de gestión de Boulder utilizado para construir la CA. Por lo general, la verificación DNS del registro CAA ocurre simultáneamente con la confirmación de la propiedad del dominio, y la mayoría de los suscriptores reciben un certificado inmediatamente después de la verificación, pero los desarrolladores de software han hecho que el resultado de la verificación se considere aprobado dentro de los próximos 30 días. . En algunos casos, es posible verificar los registros por segunda vez justo antes de que se emita el certificado; en particular, la CAA debe volver a verificarse dentro de las 8 horas anteriores a la emisión, por lo que cualquier dominio verificado antes de este período debe volver a verificarse.
¿Cuál es el error? Si una solicitud de certificado contiene N dominios que requieren verificación CAA repetida, Boulder selecciona uno de ellos y lo verifica N veces. Como resultado, fue posible emitir un certificado incluso si posteriormente (hasta X+30 días) estableció un registro CAA que prohíbe la emisión de un certificado LetsEncrypt.
Para verificar los certificados, la empresa ha preparado que mostrará un informe detallado.
Los usuarios avanzados pueden hacer todo ellos mismos usando los siguientes comandos:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыLo siguiente que debes mirar su número de serie, y si está en la lista, se recomienda renovar el(los) certificado(s).
Para actualizar certificados, puede utilizar certbot:
certbot renew --force-renewalEl problema se encontró el 29 de febrero de 2020; para solucionarlo se suspendió la emisión de certificados desde las 3:10 UTC hasta las 5:22 UTC. Según la investigación interna, el error se cometió el 25 de julio de 2019; la empresa entregará un informe más detallado más adelante.
UPD: es posible que el servicio de verificación de certificados en línea no funcione desde direcciones IP rusas.
Fuente: habr.com