LetsEncrypt គ្រោងនឹងដកហូតវិញ្ញាបនបត្ររបស់វា ដោយសារបញ្ហាកម្មវិធី

LetsEncrypt ដែលផ្តល់វិញ្ញាបនបត្រ SSL ឥតគិតថ្លៃសម្រាប់ការអ៊ិនគ្រីប ត្រូវបានបង្ខំឱ្យដកហូតវិញ្ញាបនបត្រមួយចំនួន។

បញ្ហាគឺទាក់ទងនឹង កំហុសកម្មវិធី នៅក្នុងកម្មវិធីត្រួតពិនិត្យ Boulder ដែលប្រើសម្រាប់សាងសង់ CA ។ ជាធម្មតា ការផ្ទៀងផ្ទាត់ DNS នៃកំណត់ត្រា CAA កើតឡើងក្នុងពេលដំណាលគ្នាជាមួយនឹងការបញ្ជាក់ពីកម្មសិទ្ធិដែន ហើយអតិថិជនភាគច្រើនទទួលបានវិញ្ញាបនបត្រភ្លាមៗបន្ទាប់ពីការផ្ទៀងផ្ទាត់ ប៉ុន្តែអ្នកបង្កើតកម្មវិធីបានធ្វើវា ដូច្នេះលទ្ធផលនៃការផ្ទៀងផ្ទាត់ត្រូវបានចាត់ទុកថាឆ្លងកាត់ក្នុងរយៈពេល 30 ថ្ងៃបន្ទាប់។ . ក្នុងករណីខ្លះ វាអាចពិនិត្យមើលកំណត់ត្រាជាលើកទីពីរ មុនពេលវិញ្ញាបនបត្រត្រូវបានចេញ ជាពិសេស CAA ចាំបាច់ត្រូវផ្ទៀងផ្ទាត់ឡើងវិញក្នុងរយៈពេល 8 ម៉ោងមុនពេលចេញ ដូច្នេះដែនណាមួយដែលបានផ្ទៀងផ្ទាត់មុនរយៈពេលនេះត្រូវតែផ្ទៀងផ្ទាត់ឡើងវិញ។

តើមានកំហុសអ្វី? ប្រសិនបើសំណើវិញ្ញាបនបត្រមានដែន N ដែលត្រូវការការផ្ទៀងផ្ទាត់ CAA ម្តងហើយម្តងទៀត Boulder ជ្រើសរើសមួយក្នុងចំណោមពួកគេ ហើយផ្ទៀងផ្ទាត់វា N ដង។ ជាលទ្ធផល វាអាចចេញវិញ្ញាបនបត្របាន ទោះបីជាអ្នកនៅពេលក្រោយ (រហូតដល់ X+30 ថ្ងៃ) កំណត់កំណត់ត្រា CAA ដែលហាមឃាត់ការចេញវិញ្ញាបនបត្រ LetsEncrypt ក៏ដោយ។

ដើម្បីផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ ក្រុមហ៊ុនបានរៀបចំ ឧបករណ៍អនឡាញដែលនឹងបង្ហាញរបាយការណ៍លម្អិត។

អ្នកប្រើប្រាស់កម្រិតខ្ពស់អាចធ្វើអ្វីៗគ្រប់យ៉ាងដោយខ្លួនឯងដោយប្រើពាក្យបញ្ជាខាងក្រោម៖

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

បន្ទាប់អ្នកត្រូវមើល នៅទីនេះ លេខស៊េរីរបស់អ្នក ហើយប្រសិនបើវាស្ថិតនៅក្នុងបញ្ជី វាត្រូវបានណែនាំឱ្យបន្តវិញ្ញាបនបត្រ។

ដើម្បីធ្វើបច្ចុប្បន្នភាពវិញ្ញាបនបត្រ អ្នកអាចប្រើ certbot៖

certbot renew --force-renewal

បញ្ហាត្រូវបានរកឃើញនៅថ្ងៃទី 29 ខែកុម្ភៈ ឆ្នាំ 2020 ដើម្បីដោះស្រាយបញ្ហា ការចេញវិញ្ញាបនបត្រត្រូវបានផ្អាកពីម៉ោង 3:10 UTC ដល់ម៉ោង 5:22 UTC។ យោងតាមការស៊ើបអង្កេតផ្ទៃក្នុង កំហុសត្រូវបានធ្វើឡើងនៅថ្ងៃទី 25 ខែកក្កដា ឆ្នាំ 2019 ហើយក្រុមហ៊ុននឹងផ្តល់របាយការណ៍លម្អិតបន្ថែមទៀតនៅពេលក្រោយ។

UPD៖ សេវាកម្មផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រតាមអ៊ីនធឺណិតប្រហែលជាមិនដំណើរការពីអាសយដ្ឋាន IP របស់រុស្ស៊ីទេ។

ប្រភព: www.habr.com