LetsEncrypt-ը, որն առաջարկում է անվճար SSL վկայագրեր գաղտնագրման համար, ստիպված է հետ կանչել որոշ վկայագրեր:
Խնդիրը կապված է CA-ի կառուցման համար օգտագործվող Boulder կառավարման ծրագրաշարում: Սովորաբար, CAA գրառումի DNS ստուգումը տեղի է ունենում միաժամանակ տիրույթի սեփականության հաստատման հետ, և բաժանորդների մեծամասնությունը վկայական է ստանում ստուգումից անմիջապես հետո, սակայն ծրագրաշարի մշակողները դա արել են այնպես, որ ստուգման արդյունքը համարվում է անցած հաջորդ 30 օրվա ընթացքում: . Որոշ դեպքերում հնարավոր է երկրորդ անգամ ստուգել գրառումները վկայագրի տրամադրումից անմիջապես առաջ, մասնավորապես, CAA-ն պետք է վերստուգվի տրամադրումից առաջ 8 ժամվա ընթացքում, ուստի մինչև այս ժամկետը հաստատված ցանկացած տիրույթ պետք է վերստուգվի:
Ո՞րն է սխալը։ Եթե սերտիֆիկատի հարցումը պարունակում է N տիրույթներ, որոնք պահանջում են կրկնվող CAA ստուգում, Բուլդերը ընտրում է դրանցից մեկը և հաստատում այն N անգամ: Արդյունքում, հնարավոր եղավ վկայական տալ, նույնիսկ եթե դուք ավելի ուշ (մինչև X+30 օր) սահմանեք CAA գրառում, որն արգելում է LetsEncrypt վկայագրի թողարկումը:
Վկայագրերը ստուգելու համար ընկերությունը պատրաստել է որը ցույց կտա մանրամասն հաշվետվություն:
Ընդլայնված օգտվողները կարող են ամեն ինչ ինքնուրույն անել՝ օգտագործելով հետևյալ հրամանները.
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыՀաջորդը դուք պետք է նայեք ձեր սերիական համարը, և եթե այն գտնվում է ցանկում, խորհուրդ է տրվում թարմացնել վկայականը (վկայականները):
Վկայագրերը թարմացնելու համար կարող եք օգտագործել certbot՝
certbot renew --force-renewalԽնդիրը հայտնաբերվել է 29 թվականի փետրվարի 2020-ին՝ խնդիրը լուծելու համար, վկայագրերի թողարկումը կասեցվել է ժամը 3:10 UTC-ից մինչև 5:22 UTC: Ըստ ներքին հետաքննության՝ սխալը թույլ է տրվել 25 թվականի հուլիսի 2019-ին, ավելի ուշ ընկերությունը կտրամադրի ավելի մանրամասն հաշվետվություն։
UPD. առցանց վկայականի ստուգման ծառայությունը կարող է չաշխատել ռուսական IP հասցեներից:
Source: www.habr.com
