LetsEncrypt, enkriptatzeko doako SSL ziurtagiriak eskaintzen dituena, ziurtagiri batzuk baliogabetzera behartuta dago.
Arazoa lotuta dago
Zein da akatsa? Ziurtagiri-eskaerak CAA behin eta berriz egiaztatzea behar duten N domeinuak baditu, Boulderrek horietako bat hautatzen du eta N aldiz egiaztatzen du. Ondorioz, ziurtagiri bat ematea posible zen nahiz eta geroago (X+30 egun arte) LetsEncrypt ziurtagiria igortzea debekatzen duen CAA erregistroa ezarri.
Ziurtagiriak egiaztatzeko, enpresak prestatu ditu
Erabiltzaile aurreratuek dena egin dezakete komando hauek erabiliz:
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°ΡΠΈΠ°Π½Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΠΎΡ @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡΠΈΠ½ΡΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡΠ½ΠΎ ΠΏΡΠΎΠ²Π΅ΡΡΡΡΡΡ ΠΈ Π΄ΡΡΠ³ΠΈΠ΅ ΡΠ΅ΡΠ²ΠΈΡΡ
Jarraian begiratu behar duzu
Ziurtagiriak eguneratzeko, certbot erabil dezakezu:
certbot renew --force-renewal
Arazoa 29ko otsailaren 2020an aurkitu zen; arazoa konpontzeko, ziurtagirien igorpena eten egin zen 3:10 UTCtik 5:22 UTCra. Barne ikerketaren arabera, akatsa 25ko uztailaren 2019ean egin zen; enpresak aurrerago emango du txosten zehatzagoa.
UPD: lineako ziurtagiriak egiaztatzeko zerbitzuak baliteke Errusiako IP helbideetatik ez funtzionatzea.
Iturria: www.habr.com