ProHoster > Blog > Administrazioa > LetsEncrypt-ek bere ziurtagiriak baliogabetzeko asmoa du software-akats baten ondorioz

LetsEncrypt-ek bere ziurtagiriak baliogabetzeko asmoa du software-akats baten ondorioz

LetsEncrypt-ek bere ziurtagiriak baliogabetzeko asmoa du software-akats baten ondorioz
LetsEncrypt, enkriptatzeko doako SSL ziurtagiriak eskaintzen dituena, ziurtagiri batzuk baliogabetzera behartuta dago.

Arazoa lotuta dago software akatsa CA eraikitzeko erabiltzen den Boulder kudeaketa softwarean. Normalean, CAA erregistroaren DNS egiaztapena domeinu-jabetzaren berrespenarekin batera gertatzen da, eta harpidedun gehienek egiaztapenaren ondoren berehala jasotzen dute ziurtagiria, baina software-garatzaileek egin dute egiaztapenaren emaitza hurrengo 30 egunetan gainditutzat jotzeko. . Zenbait kasutan, posible da erregistroak bigarren aldiz egiaztatzeko ziurtagiria eman baino lehen, bereziki CAA berriro egiaztatu behar da jaulki baino 8 ordu lehenago, beraz, epe hori baino lehen egiaztatutako edozein domeinu berriro egiaztatu behar da.

Zein da akatsa? Ziurtagiri-eskaerak CAA behin eta berriz egiaztatzea behar duten N domeinuak baditu, Boulderrek horietako bat hautatzen du eta N aldiz egiaztatzen du. Ondorioz, ziurtagiri bat ematea posible zen nahiz eta geroago (X+30 egun arte) LetsEncrypt ziurtagiria igortzea debekatzen duen CAA erregistroa ezarri.

Ziurtagiriak egiaztatzeko, enpresak prestatu ditu sareko tresnatxosten zehatza erakutsiko duena.

Erabiltzaile aurreratuek dena egin dezakete komando hauek erabiliz:

# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΎΡ‚ @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡŽΡ‚ΡΡ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ сСрвисы

Jarraian begiratu behar duzu Hemen zure serie-zenbakia, eta zerrendan badago, ziurtagiria(k) berritzea gomendatzen da.

Ziurtagiriak eguneratzeko, certbot erabil dezakezu:

certbot renew --force-renewal

Arazoa 29ko otsailaren 2020an aurkitu zen; arazoa konpontzeko, ziurtagirien igorpena eten egin zen 3:10 UTCtik 5:22 UTCra. Barne ikerketaren arabera, akatsa 25ko uztailaren 2019ean egin zen; enpresak aurrerago emango du txosten zehatzagoa.

UPD: lineako ziurtagiriak egiaztatzeko zerbitzuak baliteke Errusiako IP helbideetatik ez funtzionatzea.

Iturria: www.habr.com

Gehitu iruzkin berria