LetsEncrypt که گواهینامه های رایگان SSL را برای رمزگذاری ارائه می دهد، مجبور است برخی از گواهی ها را باطل کند.
مشکل مربوط به
اشتباه چیست؟ اگر یک درخواست گواهی حاوی N دامنه باشد که به تأیید مجدد CAA نیاز دارد، بولدر یکی از آنها را انتخاب می کند و N بار آن را تأیید می کند. در نتیجه، حتی اگر بعداً (تا X+30 روز) یک رکورد CAA تنظیم کنید که صدور گواهی LetsEncrypt را ممنوع می کند، امکان صدور گواهی وجود داشت.
برای تایید گواهینامه ها، شرکت تهیه کرده است
کاربران پیشرفته می توانند همه کارها را خودشان با استفاده از دستورات زیر انجام دهند:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
بعد باید نگاه کنید
برای بهروزرسانی گواهیها، میتوانید از certbot استفاده کنید:
certbot renew --force-renewal
مشکل در 29 فوریه 2020 پیدا شد؛ برای رفع مشکل، صدور گواهینامه ها از ساعت 3:10 UTC تا 5:22 UTC به حالت تعلیق درآمد. طبق تحقیقات داخلی، این خطا در 25 جولای 2019 رخ داده است؛ این شرکت گزارش دقیق تری را بعدا ارائه خواهد کرد.
UPD: سرویس تأیید گواهی آنلاین ممکن است از آدرس های IP روسی کار نکند.
منبع: www.habr.com