LetsEncrypt, koji nudi besplatne SSL certifikate za šifriranje, prisiljen je opozvati neke certifikate.
Problem je povezan s
Što je greška? Ako zahtjev za certifikat sadrži N domena koje zahtijevaju ponovljenu CAA provjeru, Boulder odabire jednu od njih i provjerava je N puta. Kao rezultat toga, bilo je moguće izdati certifikat čak i ako ste kasnije (do X+30 dana) postavili CAA zapis koji zabranjuje izdavanje LetsEncrypt certifikata.
Za provjeru certifikata, tvrtka je pripremila
Napredni korisnici mogu sve učiniti sami pomoću sljedećih naredbi:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Zatim morate pogledati
Za ažuriranje certifikata možete koristiti certbot:
certbot renew --force-renewal
Problem je otkriven 29. veljače 2020.; kako bi se problem riješio, izdavanje certifikata obustavljeno je od 3:10 UTC do 5:22 UTC. Prema internoj istrazi, pogreška je nastala 25. srpnja 2019., a detaljnije izvješće tvrtka će dostaviti kasnije.
UPD: usluga online provjere certifikata možda neće raditi s ruskih IP adresa.
Izvor: www.habr.com