ProHoster > Blog > Bestjoer > LetsEncrypt is fan plan om har sertifikaten yn te lûken fanwegen in softwarebug

LetsEncrypt is fan plan om har sertifikaten yn te lûken fanwegen in softwarebug

LetsEncrypt is fan plan om har sertifikaten yn te lûken fanwegen in softwarebug
LetsEncrypt, dy't fergees SSL-sertifikaten biedt foar fersifering, wurdt twongen om guon sertifikaten yn te lûken.

It probleem is relatearre oan software flater yn 'e Boulder-kontrôlesoftware brûkt om de CA te bouwen. Typysk bart de DNS-ferifikaasje fan it CAA-record tagelyk mei de befêstiging fan domeinbesit, en de measte abonnees krije in sertifikaat fuortendaliks nei ferifikaasje, mar de software-ûntwikkelders hawwe it sa makke dat it resultaat fan 'e ferifikaasje wurdt beskôge as passearre binnen de kommende 30 dagen . Yn guon gefallen is it mooglik om records in twadde kear te kontrolearjen krekt foardat it sertifikaat wurdt útjûn, benammen de CAA moat binnen 8 oeren foar útjefte opnij wurde ferifiearre, sadat elk domein dat foar dizze perioade ferifiearre is, moat opnij wurde ferifiearre.

Wat is de flater? As in sertifikaat fersyk befettet N domeinen dy't fereaskje werhelle CAA ferifikaasje, selektearje Boulder ien fan harren en ferifiearret it N kear. As gefolch wie it mooglik om in sertifikaat út te jaan sels as jo letter (oant X+30 dagen) in CAA-record ynsteld hawwe dy't de útjefte fan in LetsEncrypt-sertifikaat ferbiedt.

Om sertifikaten te ferifiearjen, hat it bedriuw taret online arkdy't in detaillearre rapport sjen sil.

Avansearre brûkers kinne alles sels dwaan mei de folgjende kommando's:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

Folgjende moatte jo sjen hjir jo serial number, en as it stiet op de list, It is rekommandearre om te fernijen it sertifikaat (e).

Om sertifikaten te aktualisearjen kinne jo certbot brûke:

certbot renew --force-renewal

It probleem waard fûn op 29 febrewaris 2020; om it probleem op te lossen waard de útjefte fan sertifikaten ophâlden fan 3:10 UTC oant 5:22 UTC. Neffens it ynterne ûndersyk is de flater makke op 25 july 2019; it bedriuw sil letter in mear detaillearre rapport leverje.

UPD: de tsjinst foar online sertifikaatferifikaasje kin net wurkje fan Russyske IP-adressen.

Boarne: www.habr.com

Add a comment