ProHoster > وبلاگ > اداره > LetsEncrypt قصد دارد گواهینامه های خود را به دلیل یک اشکال نرم افزاری باطل کند

LetsEncrypt قصد دارد گواهینامه های خود را به دلیل یک اشکال نرم افزاری باطل کند

LetsEncrypt قصد دارد گواهینامه های خود را به دلیل یک اشکال نرم افزاری باطل کند
LetsEncrypt که گواهینامه های رایگان SSL را برای رمزگذاری ارائه می دهد، مجبور است برخی از گواهی ها را باطل کند.

مشکل مربوط به خطای نرم افزاری در نرم افزار مدیریت Boulder که برای ساخت CA استفاده می شود. به طور معمول، تأیید DNS رکورد CAA همزمان با تأیید مالکیت دامنه انجام می شود و اکثر مشترکین بلافاصله پس از تأیید گواهی دریافت می کنند، اما توسعه دهندگان نرم افزار آن را طوری ساخته اند که نتیجه تأیید تا 30 روز آینده تصویب شده تلقی شود. . در برخی موارد، امکان بررسی سوابق برای بار دوم درست قبل از صدور گواهی وجود دارد، به ویژه CAA باید ظرف 8 ساعت قبل از صدور دوباره تأیید شود، بنابراین هر دامنه ای که قبل از این دوره تأیید شده است باید دوباره تأیید شود.

اشتباه چیست؟ اگر یک درخواست گواهی حاوی N دامنه باشد که به تأیید مجدد CAA نیاز دارد، بولدر یکی از آنها را انتخاب می کند و N بار آن را تأیید می کند. در نتیجه، حتی اگر بعداً (تا X+30 روز) یک رکورد CAA تنظیم کنید که صدور گواهی LetsEncrypt را ممنوع می کند، امکان صدور گواهی وجود داشت.

برای تایید گواهینامه ها، شرکت تهیه کرده است ابزار آنلاینکه گزارش مفصلی را نشان خواهد داد.

کاربران پیشرفته می توانند همه کارها را خودشان با استفاده از دستورات زیر انجام دهند:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

بعد باید نگاه کنید اینجا شماره سریال شما، و اگر در لیست است، توصیه می شود گواهی(ها) را تمدید کنید.

برای به‌روزرسانی گواهی‌ها، می‌توانید از certbot استفاده کنید:

certbot renew --force-renewal

مشکل در 29 فوریه 2020 پیدا شد؛ برای رفع مشکل، صدور گواهینامه ها از ساعت 3:10 UTC تا 5:22 UTC به حالت تعلیق درآمد. طبق تحقیقات داخلی، این خطا در 25 جولای 2019 رخ داده است؛ این شرکت گزارش دقیق تری را بعدا ارائه خواهد کرد.

UPD: سرویس تأیید گواهی آنلاین ممکن است از آدرس های IP روسی کار نکند.

منبع: www.habr.com

اضافه کردن نظر