LetsEncrypt, yang menawarkan sertifikat SSL gratis untuk enkripsi, terpaksa mencabut beberapa sertifikat.
Masalahnya terkait dengan
Apa kesalahannya? Jika permintaan sertifikat berisi N domain yang memerlukan verifikasi CAA berulang, Boulder memilih salah satunya dan memverifikasinya sebanyak N kali. Hasilnya, sertifikat dapat diterbitkan meskipun Anda kemudian (hingga X+30 hari) menetapkan data CAA yang melarang penerbitan sertifikat LetsEncrypt.
Untuk verifikasi sertifikat, perusahaan sudah menyiapkan
Pengguna tingkat lanjut dapat melakukan semuanya sendiri menggunakan perintah berikut:
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°ΡΠΈΠ°Π½Ρ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ ΠΎΡ @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° ΠΏΠΎΡΡΠΎΠ²ΠΎΠ³ΠΎ ΡΠ΅ΡΠ²Π΅ΡΠ°, ΠΏΡΠΎΡΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡΠΈΠ½ΡΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡΠ½ΠΎ ΠΏΡΠΎΠ²Π΅ΡΡΡΡΡΡ ΠΈ Π΄ΡΡΠ³ΠΈΠ΅ ΡΠ΅ΡΠ²ΠΈΡΡ
Selanjutnya Anda perlu melihat
Untuk memperbarui sertifikat, Anda dapat menggunakan certbot:
certbot renew --force-renewal
Masalah ditemukan pada tanggal 29 Februari 2020; untuk mengatasi masalah tersebut, penerbitan sertifikat ditangguhkan mulai pukul 3:10 UTC hingga 5:22 UTC. Berdasarkan penelusuran internal, kesalahan tersebut terjadi pada 25 Juli 2019, selanjutnya perusahaan akan memberikan laporan lebih detail.
UPD: layanan verifikasi sertifikat online mungkin tidak berfungsi dari alamat IP Rusia.
Sumber: www.habr.com