ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > LetsEncrypt rencana kanggo mbatalake sertifikat amarga bug piranti lunak

LetsEncrypt rencana kanggo mbatalake sertifikat amarga bug piranti lunak

LetsEncrypt rencana kanggo mbatalake sertifikat amarga bug piranti lunak
LetsEncrypt, sing nawakake sertifikat SSL gratis kanggo enkripsi, dipeksa mbatalake sawetara sertifikat.

Masalah ana hubungane karo kesalahan piranti lunak ing piranti lunak kontrol Boulder digunakake kanggo mbangun CA. Biasane, verifikasi DNS saka cathetan CAA kedadeyan bebarengan karo konfirmasi kepemilikan domain, lan umume pelanggan nampa sertifikat sanalika sawise verifikasi, nanging pangembang piranti lunak wis nggawe supaya asil verifikasi dianggep lulus sajrone 30 dina sabanjure. . Ing sawetara kasus, sampeyan bisa mriksa cathetan kaping pindho sadurunge sertifikat ditanggepi, utamane CAA kudu diverifikasi maneh sajrone 8 jam sadurunge diterbitake, mula domain apa wae sing wis diverifikasi sadurunge periode iki kudu diverifikasi maneh.

Apa kesalahane? Yen panjalukan sertifikat ngemot N domain sing mbutuhake verifikasi CAA bola-bali, Boulder milih salah siji lan verifikasi kaping N. AkibatΓ©, bisa ngetokake sertifikat sanajan sampeyan mengko (nganti X + 30 dina) nyetel rekaman CAA sing nglarang penerbitan sertifikat LetsEncrypt.

Kanggo verifikasi sertifikat, perusahaan wis nyiapake alat onlinesing bakal nuduhake laporan rinci.

Pangguna majeng bisa nindakake kabeh kanthi nggunakake printah ing ngisor iki:

# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΎΡ‚ @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡŽΡ‚ΡΡ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ сСрвисы

Sabanjure sampeyan kudu katon kene nomer serial Panjenengan, lan yen ana ing dhaftar, dianjurake kanggo gawe anyar certificate (e).

Kanggo nganyari sertifikat, sampeyan bisa nggunakake certbot:

certbot renew --force-renewal

Masalah kasebut ditemokake tanggal 29 Februari 2020; kanggo ngrampungake masalah kasebut, penerbitan sertifikat digantung saka 3:10 UTC nganti 5:22 UTC. Miturut penyelidikan internal, kesalahan kasebut ditindakake tanggal 25 Juli 2019; perusahaan bakal menehi laporan sing luwih rinci mengko.

UPD: layanan verifikasi sertifikat online bisa uga ora bisa digunakake saka alamat IP Rusia.

Source: www.habr.com

Add a comment