ProHoster > Blog > Pentadbiran > LetsEncrypt merancang untuk membatalkan sijilnya kerana pepijat perisian

LetsEncrypt merancang untuk membatalkan sijilnya kerana pepijat perisian

LetsEncrypt merancang untuk membatalkan sijilnya kerana pepijat perisian
LetsEncrypt, yang menawarkan sijil SSL percuma untuk penyulitan, terpaksa membatalkan beberapa sijil.

Masalahnya berkaitan dengan ralat perisian dalam perisian kawalan Boulder yang digunakan untuk membina CA. Biasanya, pengesahan DNS rekod CAA berlaku serentak dengan pengesahan pemilikan domain, dan kebanyakan pelanggan menerima sijil serta-merta selepas pengesahan, tetapi pembangun perisian telah membuatnya supaya keputusan pengesahan dianggap lulus dalam tempoh 30 hari berikutnya. . Dalam sesetengah kes, adalah mungkin untuk menyemak rekod untuk kali kedua sejurus sebelum sijil dikeluarkan, khususnya CAA perlu disahkan semula dalam masa 8 jam sebelum pengeluaran, jadi mana-mana domain yang disahkan sebelum tempoh ini mesti disahkan semula.

Apakah kesilapannya? Jika permintaan sijil mengandungi N domain yang memerlukan pengesahan CAA berulang, Boulder memilih salah satu daripadanya dan mengesahkannya N kali. Akibatnya, adalah mungkin untuk mengeluarkan sijil walaupun anda kemudian (sehingga X+30 hari) menetapkan rekod CAA yang melarang pengeluaran sijil LetsEncrypt.

Untuk mengesahkan sijil, syarikat telah menyediakan alat dalam talianyang akan menunjukkan laporan terperinci.

Pengguna lanjutan boleh melakukan semuanya sendiri menggunakan arahan berikut:

# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΎΡ‚ @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡŽΡ‚ΡΡ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ сСрвисы

Seterusnya anda perlu melihat di sini nombor siri anda, dan jika terdapat dalam senarai, adalah disyorkan untuk memperbaharui sijil.

Untuk mengemas kini sijil, anda boleh menggunakan certbot:

certbot renew --force-renewal

Masalah itu ditemui pada 29 Februari 2020; untuk menyelesaikan masalah itu, pengeluaran sijil telah digantung dari 3:10 UTC hingga 5:22 UTC. Menurut siasatan dalaman, kesilapan itu dibuat pada 25 Julai 2019; syarikat akan memberikan laporan yang lebih terperinci kemudian.

UPD: perkhidmatan pengesahan sijil dalam talian mungkin tidak berfungsi dari alamat IP Rusia.

Sumber: www.habr.com

Tambah komen