ProHoster > blog > administrasi > LetsEncrypt berencana mencabut sertifikatnya karena bug perangkat lunak

LetsEncrypt berencana mencabut sertifikatnya karena bug perangkat lunak

LetsEncrypt berencana mencabut sertifikatnya karena bug perangkat lunak
LetsEncrypt, yang menawarkan sertifikat SSL gratis untuk enkripsi, terpaksa mencabut beberapa sertifikat.

Masalahnya terkait dengan kesalahan perangkat lunak dalam perangkat lunak kontrol Boulder yang digunakan untuk membangun CA. Biasanya, verifikasi DNS dari catatan CAA terjadi bersamaan dengan konfirmasi kepemilikan domain, dan sebagian besar pelanggan menerima sertifikat segera setelah verifikasi, namun pengembang perangkat lunak telah membuatnya sehingga hasil verifikasi dianggap lulus dalam 30 hari ke depan. . Dalam beberapa kasus, dimungkinkan untuk memeriksa catatan untuk kedua kalinya sebelum sertifikat diterbitkan, khususnya CAA perlu diverifikasi ulang dalam waktu 8 jam sebelum penerbitan, sehingga domain apa pun yang diverifikasi sebelum periode ini harus diverifikasi ulang.

Apa kesalahannya? Jika permintaan sertifikat berisi N domain yang memerlukan verifikasi CAA berulang, Boulder memilih salah satunya dan memverifikasinya sebanyak N kali. Hasilnya, sertifikat dapat diterbitkan meskipun Anda kemudian (hingga X+30 hari) menetapkan data CAA yang melarang penerbitan sertifikat LetsEncrypt.

Untuk verifikasi sertifikat, perusahaan sudah menyiapkan alat daringyang akan menampilkan laporan rinci.

Pengguna tingkat lanjut dapat melakukan semuanya sendiri menggunakan perintah berikut:

# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΎΡ‚ @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡŽΡ‚ΡΡ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ сСрвисы

Selanjutnya Anda perlu melihat di sini nomor seri Anda, dan jika ada dalam daftar, disarankan untuk memperbarui sertifikat.

Untuk memperbarui sertifikat, Anda dapat menggunakan certbot:

certbot renew --force-renewal

Masalah ditemukan pada tanggal 29 Februari 2020; untuk mengatasi masalah tersebut, penerbitan sertifikat ditangguhkan mulai pukul 3:10 UTC hingga 5:22 UTC. Berdasarkan penelusuran internal, kesalahan tersebut terjadi pada 25 Juli 2019, selanjutnya perusahaan akan memberikan laporan lebih detail.

UPD: layanan verifikasi sertifikat online mungkin tidak berfungsi dari alamat IP Rusia.

Sumber: www.habr.com

Tambah komentar