A titkosításhoz ingyenes SSL-tanúsítványokat kínáló LetsEncrypt kénytelen visszavonni néhány tanúsítványt.
A probléma összefügg a CA felépítéséhez használt Boulder vezérlőszoftverben. A CAA-rekord DNS-ellenőrzése jellemzően a domain tulajdonjogának megerősítésével egyidejűleg történik, és a legtöbb előfizető azonnal az ellenőrzést követően kap egy tanúsítványt, de a szoftverfejlesztők ezt úgy csinálták, hogy az ellenőrzés eredménye a következő 30 napon belül sikeresnek minősül. . Egyes esetekben lehetőség van az iratok másodszori ellenőrzésére közvetlenül a tanúsítvány kiadása előtt, különösen a CAA-t a kiállítás előtt 8 órán belül újra kell ellenőrizni, így minden ezen időszak előtt hitelesített domaint újra kell ellenőrizni.
mi a hiba? Ha egy tanúsítványkérelem N olyan tartományt tartalmaz, amelyek ismételt CAA-ellenőrzést igényelnek, a Boulder kiválaszt egyet közülük, és N-szer ellenőrzi. Ennek eredményeként akkor is lehetett tanúsítványt kiadni, ha később (maximum X+30 napig) olyan CAA rekordot állított be, amely tiltja a LetsEncrypt tanúsítvány kiadását.
A tanúsítványok ellenőrzésére a cég felkészült amely részletes jelentést fog mutatni.
A haladó felhasználók mindent megtehetnek maguk a következő parancsokkal:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыEzután meg kell nézni sorszámát, és ha szerepel a listán, javasolt a tanúsítvány(ok) megújítása.
A tanúsítványok frissítéséhez használhatja a certbotot:
certbot renew --force-renewalA problémát 29. február 2020-én észlelték; a probléma megoldása érdekében a tanúsítványok kiadását felfüggesztettük 3:10 UTC és 5:22 UTC között. A belső vizsgálat szerint a hiba 25. július 2019-én történt, a cég később ad részletesebb jelentést.
UPD: előfordulhat, hogy az online tanúsítvány-ellenőrző szolgáltatás nem működik orosz IP-címekről.
Forrás: will.com