LetsEncrypt एक सॉफ़्टवेयर बग के कारण अपने प्रमाणपत्र रद्द करने की योजना बना रहा है

LetsEncrypt, जो एन्क्रिप्शन के लिए मुफ्त एसएसएल प्रमाणपत्र प्रदान करता है, कुछ प्रमाणपत्रों को रद्द करने के लिए मजबूर है।

समस्या संबंधित है सॉफ़्टवेयर त्रुटि सीए के निर्माण के लिए उपयोग किए जाने वाले बोल्डर नियंत्रण सॉफ्टवेयर में। आमतौर पर, सीएए रिकॉर्ड का डीएनएस सत्यापन डोमेन स्वामित्व की पुष्टि के साथ-साथ होता है, और अधिकांश ग्राहकों को सत्यापन के तुरंत बाद एक प्रमाण पत्र प्राप्त होता है, लेकिन सॉफ्टवेयर डेवलपर्स ने इसे ऐसा बनाया है कि सत्यापन के परिणाम को अगले 30 दिनों के भीतर पारित माना जाता है। . कुछ मामलों में, प्रमाणपत्र जारी होने से ठीक पहले दूसरी बार रिकॉर्ड की जांच करना संभव है, विशेष रूप से सीएए को जारी करने से पहले 8 घंटे के भीतर फिर से सत्यापित करने की आवश्यकता होती है, इसलिए इस अवधि से पहले सत्यापित किसी भी डोमेन को फिर से सत्यापित किया जाना चाहिए।

गलती क्या है? यदि प्रमाणपत्र अनुरोध में एन डोमेन शामिल हैं जिन्हें बार-बार सीएए सत्यापन की आवश्यकता होती है, तो बोल्डर उनमें से एक का चयन करता है और इसे एन बार सत्यापित करता है। परिणामस्वरूप, प्रमाणपत्र जारी करना संभव था, भले ही आपने बाद में (X+30 दिनों तक) एक CAA रिकॉर्ड सेट किया हो जो LetsEncrypt प्रमाणपत्र जारी करने पर रोक लगाता हो।

प्रमाणपत्रों के सत्यापन के लिए कंपनी ने तैयारी कर ली है ऑनलाइन टूलजो एक विस्तृत रिपोर्ट दिखाएगा।

उन्नत उपयोगकर्ता निम्नलिखित आदेशों का उपयोग करके स्वयं सब कुछ कर सकते हैं:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

आगे आपको देखने की जरूरत है यहां आपका क्रमांक, और यदि यह सूची में है, तो प्रमाणपत्र को नवीनीकृत करने की अनुशंसा की जाती है।

प्रमाणपत्रों को अद्यतन करने के लिए, आप certbot का उपयोग कर सकते हैं:

certbot renew --force-renewal

समस्या 29 फरवरी, 2020 को पाई गई; समस्या को हल करने के लिए, प्रमाणपत्र जारी करना 3:10 यूटीसी से 5:22 यूटीसी तक निलंबित कर दिया गया था। आंतरिक जांच के अनुसार, त्रुटि 25 जुलाई, 2019 को हुई थी; कंपनी बाद में अधिक विस्तृत रिपोर्ट प्रदान करेगी।

यूपीडी: ऑनलाइन प्रमाणपत्र सत्यापन सेवा रूसी आईपी पते से काम नहीं कर सकती है।

स्रोत: www.habr.com