„LetsEncrypt“, siūlanti nemokamus SSL sertifikatus šifravimui, yra priversta atšaukti kai kuriuos sertifikatus.
Problema susijusi su Boulder valdymo programinėje įrangoje, naudojamoje kuriant CA. Paprastai CAA įrašo DNS patikrinimas vyksta kartu su domeno nuosavybės patvirtinimu, o dauguma abonentų sertifikatą gauna iškart po patikrinimo, tačiau programinės įrangos kūrėjai padarė tai taip, kad patikrinimo rezultatas būtų laikomas išlaikytu per artimiausias 30 dienų. . Kai kuriais atvejais galima patikrinti įrašus antrą kartą prieš pat sertifikato išdavimą, ypač CAA reikia pakartotinai patikrinti likus 8 valandoms iki išdavimo, todėl bet koks domenas, patikrintas iki šio laikotarpio, turi būti iš naujo patikrintas.
Kokia klaida? Jei sertifikato užklausoje yra N domenų, kuriems reikalingas pakartotinis CAA patvirtinimas, Boulder pasirenka vieną iš jų ir patikrina jį N kartų. Dėl to buvo galima išduoti sertifikatą, net jei vėliau (iki X+30 dienų) nustatėte CAA įrašą, kuris draudžia išduoti LetsEncrypt sertifikatą.
Pažymėjimams patikrinti įmonė parengė kuriame bus parodyta išsami ataskaita.
Pažengę vartotojai viską gali padaryti patys naudodami šias komandas:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыToliau reikia žiūrėti savo serijos numerį, o jei jis yra sąraše, rekomenduojama atnaujinti sertifikatą (-us).
Norėdami atnaujinti sertifikatus, galite naudoti certbot:
certbot renew --force-renewalProblema buvo nustatyta 29 m. vasario 2020 d., siekiant išspręsti problemą, buvo sustabdytas sertifikatų išdavimas nuo 3:10 UTC iki 5:22 UTC. Vidaus tyrimo duomenimis, klaida padaryta 25-2019-XNUMX, detalesnę ataskaitą bendrovė pateiks vėliau.
UPD: internetinė sertifikato tikrinimo paslauga gali neveikti iš Rusijos IP adresų.
Šaltinis: www.habr.com