LetsEncrypt, koji nudi besplatne SSL certifikate za šifriranje, prisiljen je opozvati neke certifikate.
Problem je povezan s u upravljačkom softveru Boulder koji se koristi za izgradnju CA. Obično se DNS provjera CAA zapisa odvija istovremeno s potvrdom vlasništva nad domenom, a većina pretplatnika dobije certifikat odmah nakon verifikacije, no programeri softvera su napravili tako da se rezultat verifikacije smatra položenim unutar sljedećih 30 dana. . U nekim je slučajevima moguće drugi put provjeriti zapise neposredno prije izdavanja certifikata, posebice CAA treba ponovno provjeriti unutar 8 sati prije izdavanja, tako da se svaka domena potvrđena prije tog razdoblja mora ponovno provjeriti.
Što je greška? Ako zahtjev za certifikat sadrži N domena koje zahtijevaju ponovljenu CAA provjeru, Boulder odabire jednu od njih i provjerava je N puta. Kao rezultat toga, bilo je moguće izdati certifikat čak i ako ste kasnije (do X+30 dana) postavili CAA zapis koji zabranjuje izdavanje LetsEncrypt certifikata.
Za provjeru certifikata, tvrtka je pripremila koji će pokazati detaljan izvještaj.
Napredni korisnici mogu sve učiniti sami pomoću sljedećih naredbi:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыZatim morate pogledati svoj serijski broj, a ako je na popisu, preporučljivo je obnoviti certifikat(e).
Za ažuriranje certifikata možete koristiti certbot:
certbot renew --force-renewalProblem je otkriven 29. veljače 2020.; kako bi se problem riješio, izdavanje certifikata obustavljeno je od 3:10 UTC do 5:22 UTC. Prema internoj istrazi, pogreška je nastala 25. srpnja 2019., a detaljnije izvješće tvrtka će dostaviti kasnije.
UPD: usluga online provjere certifikata možda neće raditi s ruskih IP adresa.
Izvor: www.habr.com