LetsEncrypt, dy't fergees SSL-sertifikaten biedt foar fersifering, wurdt twongen om guon sertifikaten yn te lûken.
It probleem is relatearre oan
Wat is de flater? As in sertifikaat fersyk befettet N domeinen dy't fereaskje werhelle CAA ferifikaasje, selektearje Boulder ien fan harren en ferifiearret it N kear. As gefolch wie it mooglik om in sertifikaat út te jaan sels as jo letter (oant X+30 dagen) in CAA-record ynsteld hawwe dy't de útjefte fan in LetsEncrypt-sertifikaat ferbiedt.
Om sertifikaten te ferifiearjen, hat it bedriuw taret
Avansearre brûkers kinne alles sels dwaan mei de folgjende kommando's:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Folgjende moatte jo sjen
Om sertifikaten te aktualisearjen kinne jo certbot brûke:
certbot renew --force-renewal
It probleem waard fûn op 29 febrewaris 2020; om it probleem op te lossen waard de útjefte fan sertifikaten ophâlden fan 3:10 UTC oant 5:22 UTC. Neffens it ynterne ûndersyk is de flater makke op 25 july 2019; it bedriuw sil letter in mear detaillearre rapport leverje.
UPD: de tsjinst foar online sertifikaatferifikaasje kin net wurkje fan Russyske IP-adressen.
Boarne: www.habr.com