暗号化用の無料 SSL 証明書を提供する LetsEncrypt は、一部の証明書を取り消すことを余儀なくされています。
問題はに関連しています CA の構築に使用される Boulder 制御ソフトウェア内。 通常、CAA レコードの DNS 検証はドメイン所有権の確認と同時に行われ、ほとんどの加入者は検証後すぐに証明書を受け取りますが、ソフトウェア開発者は検証の結果が 30 日以内に合格したとみなされるようにしています。 。 場合によっては、証明書が発行される直前にレコードを 8 回確認することができます。特に CAA は発行前 XNUMX 時間以内に再検証する必要があるため、この期間より前に検証されたドメインはすべて再検証する必要があります。
間違いは何ですか? 証明書要求に繰り返し CAA 検証を必要とする N 個のドメインが含まれている場合、Boulder はそのうちの 30 つを選択して N 回検証します。 その結果、後で (最大 X+XNUMX 日) に LetsEncrypt 証明書の発行を禁止する CAA レコードを設定した場合でも、証明書を発行することが可能でした。
証明書を検証するために、会社は次のことを準備しました。 詳細なレポートが表示されます。
上級ユーザーは、次のコマンドを使用してすべてを自分で行うことができます。
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы次に見る必要があります シリアル番号がリストに載っている場合は、証明書を更新することをお勧めします。
証明書を更新するには、certbot を使用できます。
certbot renew --force-renewalこの問題は 29 年 2020 月 3 日に発見され、問題を解決するために、協定世界時 10 時 5 分から協定世界時 22 時 25 分まで証明書の発行が停止されました。 社内調査によると、ミスは2019年XNUMX月XNUMX日に発生したとのことで、同社は後日、より詳細な報告を行う予定だという。
UPD: オンライン証明書検証サービスは、ロシアの IP アドレスからは機能しない可能性があります。
出所: habr.com