LetsEncrypt, que ofrece certificados SSL gratuítos para o cifrado, vese obrigado a revogar algúns certificados.
O problema está relacionado con no software de control Boulder usado para construír a CA. Normalmente, a verificación do DNS do rexistro CAA ocorre simultaneamente coa confirmación da propiedade do dominio, e a maioría dos subscritores reciben un certificado inmediatamente despois da verificación, pero os desenvolvedores de software fixérono para que o resultado da verificación se considere aprobado nos próximos 30 días. . Nalgúns casos, é posible comprobar os rexistros unha segunda vez xusto antes de emitir o certificado, en particular, o CAA debe ser verificado de novo dentro das 8 horas anteriores á emisión, polo que calquera dominio verificado antes deste período debe ser verificado de novo.
Cal é o erro? Se unha solicitude de certificado contén N dominios que requiren unha verificación CAA repetida, Boulder selecciona un deles e verifícao N veces. Como resultado, foi posible emitir un certificado aínda que máis tarde (ata X+30 días) estableza un rexistro CAA que prohibe a emisión dun certificado LetsEncrypt.
Para verificar os certificados, a empresa preparou que mostrará un informe detallado.
Os usuarios avanzados poden facer todo eles mesmos usando os seguintes comandos:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыA continuación tes que mirar o seu número de serie e, se está na lista, recoméndase renovar o(s) certificado(s).
Para actualizar os certificados, podes usar certbot:
certbot renew --force-renewalO problema atopouse o 29 de febreiro de 2020; para resolver o problema, suspendeuse a emisión de certificados das 3:10 UTC ás 5:22 UTC. Segundo a investigación interna, o erro cometeuse o 25 de xullo de 2019; a empresa achegará un informe máis detallado máis adiante.
UPD: é posible que o servizo de verificación de certificados en liña non funcione desde os enderezos IP rusos.
Fonte: www.habr.com