暗号化用の無料 SSL 証明書を提供する LetsEncrypt は、一部の証明書を取り消すことを余儀なくされています。
問題はに関連しています
間違いは何ですか? 証明書要求に繰り返し CAA 検証を必要とする N 個のドメインが含まれている場合、Boulder はそのうちの 30 つを選択して N 回検証します。 その結果、後で (最大 X+XNUMX 日) に LetsEncrypt 証明書の発行を禁止する CAA レコードを設定した場合でも、証明書を発行することが可能でした。
証明書を検証するために、会社は次のことを準備しました。
上級ユーザーは、次のコマンドを使用してすべてを自分で行うことができます。
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
次に見る必要があります
証明書を更新するには、certbot を使用できます。
certbot renew --force-renewal
この問題は 29 年 2020 月 3 日に発見され、問題を解決するために、協定世界時 10 時 5 分から協定世界時 22 時 25 分まで証明書の発行が停止されました。 社内調査によると、ミスは2019年XNUMX月XNUMX日に発生したとのことで、同社は後日、より詳細な報告を行う予定だという。
UPD: オンライン証明書検証サービスは、ロシアの IP アドレスからは機能しない可能性があります。
出所: habr.com