LetsEncrypt, ku ji bo şîfrekirinê sertîfîkayên SSL-ya belaş pêşkêşî dike, neçar e ku hin sertîfîkayan betal bike.
Pirsgirêk bi ve girêdayî ye di nermalava kontrolê ya Boulder de ku ji bo avakirina CA-yê tê bikar anîn. Bi gelemperî, verastkirina DNS-ê ya tomara CAA-yê bi pejirandina xwedan domainê re hevdem pêk tê, û piraniya aboneyan tavilê piştî verastkirinê sertîfîkayek distînin, lê pêşdebirên nermalavê ew wusa kirine ku encama verastkirinê di nav 30 rojên pêş de derbasbûyî tê hesibandin. . Di hin rewşan de, mimkun e ku meriv carek duyemîn berî ku sertîfîka were derxistin, tomaran kontrol bikin, nemaze CAA hewce dike ku di nav 8 demjimêran de berî çapkirinê ji nû ve were verast kirin, ji ber vê yekê her domainek ku berî vê heyamê hatî verast kirin divê ji nû ve were verast kirin.
Şaşî çi ye? Ger daxwazek sertîfîkayê N domên ku hewceyê verastkirina CAA-yê dubare dike heye, Boulder yek ji wan hildibijêre û wê N caran verast dike. Wekî encamek, heke hûn paşê (heta X + 30 rojan) tomarek CAA-yê ku weşana sertîfîkaya LetsEncrypt qedexe dike, saz bikin jî gengaz bû ku hûn sertîfîkayek bidin.
Ji bo verastkirina sertîfîkayan, pargîdanî amade kiriye ku dê raporek berfireh nîşan bide.
Bikarhênerên pêşkeftî dikarin her tiştî bixwe bi karanîna fermanên jêrîn bikin:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыPiştre divê hûn lê binêrin jimareya rêzeya we, û heke ew di lîsteyê de be, tê pêşniyar kirin ku sertîfîka(an) nû bikin.
Ji bo nûvekirina sertîfîkayan, hûn dikarin certbot bikar bînin:
certbot renew --force-renewalPirsgirêk di 29ê Sibata, 2020-an de hate dîtin; ji bo çareserkirina pirsgirêkê, weşandina sertîfîkayan ji 3:10 UTC heya 5:22 UTC hate sekinandin. Li gorî lêkolîna navxweyî, xeletî di 25ê Tîrmeha 2019an de çêbûye; pargîdanî dê paşê raporek berfirehtir peyda bike.
UPD: karûbarê verastkirina sertîfîkaya serhêl dibe ku ji navnîşanên IP-ya rûsî nexebite.
Source: www.habr.com
