ProHoster > Blog > Stjórnsýsla > LetsEncrypt ætlar að afturkalla vottorð sín vegna hugbúnaðarvillu

LetsEncrypt ætlar að afturkalla vottorð sín vegna hugbúnaðarvillu

LetsEncrypt ætlar að afturkalla vottorð sín vegna hugbúnaðarvillu
LetsEncrypt, sem býður upp á ókeypis SSL vottorð fyrir dulkóðun, neyðist til að afturkalla sum vottorð.

Vandamálið tengist hugbúnaðarvilla í Boulder stýrihugbúnaðinum sem notaður var til að byggja CA. Venjulega fer DNS-staðfesting CAA-skrárinnar fram samtímis staðfestingu á eignarhaldi léns og flestir áskrifendur fá vottorð strax eftir staðfestingu, en hugbúnaðarframleiðendur hafa gert það þannig að niðurstaða sannprófunarinnar telst samþykkt innan næstu 30 daga . Í sumum tilfellum er hægt að athuga skrár í annað sinn rétt áður en skírteinið er gefið út, sérstaklega þarf að staðfesta CAA aftur innan 8 klukkustunda fyrir útgáfu, þannig að öll lén sem eru staðfest fyrir þetta tímabil verða að vera endurstaðfest.

Hver er mistökin? Ef vottorðsbeiðni inniheldur N lén sem krefjast endurtekinnar CAA staðfestingar, velur Boulder eitt þeirra og staðfestir það N sinnum. Fyrir vikið var hægt að gefa út skírteini jafnvel þótt þú síðar (allt að X+30 dögum) setti CAA met sem bannar útgáfu LetsEncrypt vottorðs.

Til að sannreyna vottorð hefur fyrirtækið undirbúið tól á netinusem mun sýna ítarlega skýrslu.

Háþróaðir notendur geta gert allt sjálfir með eftirfarandi skipunum:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

Næst þarftu að skoða hér raðnúmerið þitt, og ef það er á listanum, er mælt með því að endurnýja vottorðið/skjölin.

Til að uppfæra vottorð geturðu notað certbot:

certbot renew --force-renewal

Vandamálið fannst 29. febrúar 2020; til að leysa vandamálið var útgáfu skírteina stöðvuð frá 3:10 UTC til 5:22 UTC. Samkvæmt innri rannsókninni var mistökin gerð 25. júlí 2019 og mun félagið gefa nánari skýrslu síðar.

UPD: vottorðsstaðfestingarþjónustan á netinu virkar kannski ekki frá rússneskum IP tölum.

Heimild: www.habr.com

Bæta við athugasemd