LetsEncrypt-ek bere ziurtagiriak baliogabetzeko asmoa du software-akats baten ondorioz

LetsEncrypt, enkriptatzeko doako SSL ziurtagiriak eskaintzen dituena, ziurtagiri batzuk baliogabetzera behartuta dago.

Arazoa lotuta dago software akatsa CA eraikitzeko erabiltzen den Boulder kudeaketa softwarean. Normalean, CAA erregistroaren DNS egiaztapena domeinu-jabetzaren berrespenarekin batera gertatzen da, eta harpidedun gehienek egiaztapenaren ondoren berehala jasotzen dute ziurtagiria, baina software-garatzaileek egin dute egiaztapenaren emaitza hurrengo 30 egunetan gainditutzat jotzeko. . Zenbait kasutan, posible da erregistroak bigarren aldiz egiaztatzeko ziurtagiria eman baino lehen, bereziki CAA berriro egiaztatu behar da jaulki baino 8 ordu lehenago, beraz, epe hori baino lehen egiaztatutako edozein domeinu berriro egiaztatu behar da.

Zein da akatsa? Ziurtagiri-eskaerak CAA behin eta berriz egiaztatzea behar duten N domeinuak baditu, Boulderrek horietako bat hautatzen du eta N aldiz egiaztatzen du. Ondorioz, ziurtagiri bat ematea posible zen nahiz eta geroago (X+30 egun arte) LetsEncrypt ziurtagiria igortzea debekatzen duen CAA erregistroa ezarri.

Ziurtagiriak egiaztatzeko, enpresak prestatu ditu sareko tresnatxosten zehatza erakutsiko duena.

Erabiltzaile aurreratuek dena egin dezakete komando hauek erabiliz:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

Jarraian begiratu behar duzu Hemen zure serie-zenbakia, eta zerrendan badago, ziurtagiria(k) berritzea gomendatzen da.

Ziurtagiriak eguneratzeko, certbot erabil dezakezu:

certbot renew --force-renewal

Arazoa 29ko otsailaren 2020an aurkitu zen; arazoa konpontzeko, ziurtagirien igorpena eten egin zen 3:10 UTCtik 5:22 UTCra. Barne ikerketaren arabera, akatsa 25ko uztailaren 2019ean egin zen; enpresak aurrerago emango du txosten zehatzagoa.

UPD: lineako ziurtagiriak egiaztatzeko zerbitzuak baliteke Errusiako IP helbideetatik ez funtzionatzea.

Iturria: www.habr.com