LetsEncrypt, que ofrece certificados SSL gratuítos para o cifrado, vese obrigado a revogar algúns certificados.
O problema está relacionado con
Cal é o erro? Se unha solicitude de certificado contén N dominios que requiren unha verificación CAA repetida, Boulder selecciona un deles e verifícao N veces. Como resultado, foi posible emitir un certificado aínda que máis tarde (ata X+30 días) estableza un rexistro CAA que prohibe a emisión dun certificado LetsEncrypt.
Para verificar os certificados, a empresa preparou
Os usuarios avanzados poden facer todo eles mesmos usando os seguintes comandos:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
A continuación tes que mirar
Para actualizar os certificados, podes usar certbot:
certbot renew --force-renewal
O problema atopouse o 29 de febreiro de 2020; para resolver o problema, suspendeuse a emisión de certificados das 3:10 UTC ás 5:22 UTC. Segundo a investigación interna, o erro cometeuse o 25 de xullo de 2019; a empresa achegará un informe máis detallado máis adiante.
UPD: é posible que o servizo de verificación de certificados en liña non funcione desde os enderezos IP rusos.
Fonte: www.habr.com