Let's Encrypt бол олон нийтийн хяналттай ашгийн бус гэрчилгээний байгууллага бөгөөд хүн бүрт үнэ төлбөргүй гэрчилгээ олгодог. өмнө нь гаргасан TLS/SSL сертификатуудыг удахгүй цуцлах тухай. Одоогийн байдлаар хүчинтэй байгаа 116 сая Let's Encrypt сертификатын 3 сая гаруй (2.6%) нь хүчингүй болох бөгөөд үүнээс 1 сая орчим нь ижил домэйнтэй холбоотой давхардал юм (алдаа нь ихэвчлэн байнга шинэчлэгддэг сертификатуудад нөлөөлдөг. яагаад ийм олон давхардсан байна вэ). Эргэн татах ажиллагааг 4-р сарын 3-нд хийхээр төлөвлөж байна (яг цагийг хараахан тогтоогоогүй байгаа ч MSK-ийн өглөөний XNUMX цагаас өмнө эргүүлэн татахгүй).
Эргэн татах шаардлага нь хоёрдугаар сарын 29-нд илэрсэнтэй холбоотой . Асуудал нь 25 оны 2019-р сарын XNUMX-аас хойш гарч ирсэн бөгөөд DNS дахь CAA бүртгэлийг шалгах системд нөлөөлж байна. CAA бүртгэл (,Гэрчилгээний эрх мэдэл) нь домэйн эзэмшигчид тодорхой домэйнд гэрчилгээ үүсгэж болох баталгаажуулалтын байгууллагыг тодорхой тодорхойлох боломжийг олгодог. Хэрэв CA нь ИНЕГ-ын бүртгэлд бүртгэгдээгүй бол тухайн домэйнд гэрчилгээ олгохыг хориглож, домайны эзэмшигчид буулт хийх оролдлогын талаар мэдэгдэх ёстой. Ихэнх тохиолдолд ИНЕГ-ын шалгалтанд тэнцсэн даруйдаа гэрчилгээ авах хүсэлт гаргадаг боловч шалгалтын үр дүнг өөр 30 хоног хүчинтэй гэж үзнэ. Дүрэмд мөн шинэ гэрчилгээ олгохоос 8 цагийн өмнө дахин баталгаажуулалт хийхийг шаарддаг (жишээ нь, шинэ гэрчилгээ авах хүсэлт гаргахад сүүлийн шалгалтаас хойш 8 цаг өнгөрсөн бол дахин баталгаажуулах шаардлагатай).
Хэрэв гэрчилгээний хүсэлт нь хэд хэдэн домэйн нэрийг нэг дор хамрах бөгөөд тус бүр нь ИНЕГ-ын бүртгэлийг шалгах шаардлагатай бол алдаа гардаг. Алдааны мөн чанар нь дахин шалгах үед бүх домэйныг баталгаажуулахын оронд жагсаалтаас зөвхөн нэг домэйныг дахин шалгасан (хэрэв хүсэлт нь N домэйнтэй байсан бол N өөр чекийн оронд нэг домэйн N шалгагдсан. удаа). Үлдсэн домэйнуудын хувьд хоёр дахь шалгалт хийгдээгүй бөгөөд шийдвэр гаргахдаа эхний шалгалтын өгөгдлийг ашигласан (өөрөөр хэлбэл 30 хүртэлх хоногийн настай өгөгдлийг ашигласан). Үүний үр дүнд, анхны баталгаажуулалтаас хойш 30 хоногийн дотор Let's Encrypt нь ИНЕГ-ын бичлэгийн утга өөрчлөгдөж, зөвшөөрөгдөх CA-уудын жагсаалтаас хасагдсан ч Let's Encrypt гэрчилгээ олгох боломжтой.
Гэрчилгээг хүлээн авахдаа холбоо барих мэдээллийг бөглөсөн бол нөлөөлөлд өртсөн хэрэглэгчдэд имэйлээр мэдэгдэнэ. Та татаж авах замаар гэрчилгээгээ шалгах боломжтой хүчингүй болсон гэрчилгээ эсвэл ашиглах серийн дугаар (IP хаяг дээр байрлах, ОХУ-д Роскомнадзор). Та дараах тушаалыг ашиглан сонирхсон домэйны гэрчилгээний серийн дугаарыг олж мэдэх боломжтой.
openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -текст -noout | grep -A 1 Цуваа\ Дугаар | tr -d :
Эх сурвалж: opennet.ru