„LetsEncrypt“, siūlanti nemokamus SSL sertifikatus šifravimui, yra priversta atšaukti kai kuriuos sertifikatus.
Problema susijusi su
Kokia klaida? Jei sertifikato užklausoje yra N domenų, kuriems reikalingas pakartotinis CAA patvirtinimas, Boulder pasirenka vieną iš jų ir patikrina jį N kartų. Dėl to buvo galima išduoti sertifikatą, net jei vėliau (iki X+30 dienų) nustatėte CAA įrašą, kuris draudžia išduoti LetsEncrypt sertifikatą.
Pažymėjimams patikrinti įmonė parengė
Pažengę vartotojai viską gali padaryti patys naudodami šias komandas:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Toliau reikia žiūrėti
Norėdami atnaujinti sertifikatus, galite naudoti certbot:
certbot renew --force-renewal
Problema buvo nustatyta 29 m. vasario 2020 d., siekiant išspręsti problemą, buvo sustabdytas sertifikatų išdavimas nuo 3:10 UTC iki 5:22 UTC. Vidaus tyrimo duomenimis, klaida padaryta 25-2019-XNUMX, detalesnę ataskaitą bendrovė pateiks vėliau.
UPD: internetinė sertifikato tikrinimo paslauga gali neveikti iš Rusijos IP adresų.
Šaltinis: www.habr.com