🥇LetsEncrypt qed tippjana li tirrevoka ċ-ċertifikati tagħha minħabba bug tas-softwer

LetsEncrypt, li joffri ċertifikati SSL b'xejn għall-encryption, huwa sfurzat li jirrevoka xi ċertifikati.

Il-problema hija relatata ma ' żball tas-softwer fis-softwer tal-ġestjoni Boulder użat biex tinbena l-CA. Tipikament, il-verifika DNS tar-rekord CAA sseħħ fl-istess ħin mal-konferma tas-sjieda tad-dominju, u l-biċċa l-kbira tal-abbonati jirċievu ċertifikat immedjatament wara l-verifika, iżda l-iżviluppaturi tas-softwer għamluha sabiex ir-riżultat tal-verifika jitqies li għadda fi żmien 30 jum li ġejjin. . F'xi każijiet, huwa possibbli li r-rekords jiġu ċċekkjati għat-tieni darba eżatt qabel ma jinħareġ iċ-ċertifikat, b'mod partikolari s-CAA jeħtieġ li terġa 'tiġi vverifikata fi żmien 8 sigħat qabel il-ħruġ, għalhekk kwalunkwe dominju verifikat qabel dan il-perjodu għandu jerġa' jiġi vverifikat mill-ġdid.

X'inhu l-iżball? Jekk talba għal ċertifikat fiha N oqsma li jeħtieġu verifika ripetuta tas-CAA, Boulder jagħżel wieħed minnhom u jivverifikaha N darbiet. Bħala riżultat, kien possibbli li jinħareġ ċertifikat anki jekk aktar tard (sa X + 30 jum) waqqaft rekord CAA li jipprojbixxi l-ħruġ ta 'ċertifikat LetsEncrypt.

Biex tivverifika ċ-ċertifikati, il-kumpanija ħejjiet għodda onlajnli se juri rapport dettaljat.

Utenti avvanzati jistgħu jagħmlu kollox huma stess billi jużaw il-kmandi li ġejjin:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

Sussegwentement trid tfittex hawn in-numru tas-serje tiegħek, u jekk ikun fil-lista, huwa rakkomandat li ġġedded iċ-ċertifikat(i).

Biex taġġorna ċ-ċertifikati, tista' tuża certbot:

certbot renew --force-renewal

Il-problema nstabet fid-29 ta' Frar 2020; biex tissolva l-problema, il-ħruġ taċ-ċertifikati ġie sospiż mit-3:10 UTC sal-5:22 UTC. Skont l-investigazzjoni interna, l-iżball sar fil-25 ta’ Lulju 2019; il-kumpanija se tipprovdi rapport aktar dettaljat aktar tard.

UPD: is-servizz ta' verifika taċ-ċertifikati onlajn jista' ma jaħdimx minn indirizzi IP Russi.

Sors: www.habr.com

LetsEncrypt qed tippjana li tirrevoka ċ-ċertifikati tagħha minħabba bug tas-softwer

Żid kumment Ikkanċella risposta