LetsEncrypt, li joffri ċertifikati SSL b'xejn għall-encryption, huwa sfurzat li jirrevoka xi ċertifikati.
Il-problema hija relatata ma '
X'inhu l-iżball? Jekk talba għal ċertifikat fiha N oqsma li jeħtieġu verifika ripetuta tas-CAA, Boulder jagħżel wieħed minnhom u jivverifikaha N darbiet. Bħala riżultat, kien possibbli li jinħareġ ċertifikat anki jekk aktar tard (sa X + 30 jum) waqqaft rekord CAA li jipprojbixxi l-ħruġ ta 'ċertifikat LetsEncrypt.
Biex tivverifika ċ-ċertifikati, il-kumpanija ħejjiet
Utenti avvanzati jistgħu jagħmlu kollox huma stess billi jużaw il-kmandi li ġejjin:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Sussegwentement trid tfittex
Biex taġġorna ċ-ċertifikati, tista' tuża certbot:
certbot renew --force-renewal
Il-problema nstabet fid-29 ta' Frar 2020; biex tissolva l-problema, il-ħruġ taċ-ċertifikati ġie sospiż mit-3:10 UTC sal-5:22 UTC. Skont l-investigazzjoni interna, l-iżball sar fil-25 ta’ Lulju 2019; il-kumpanija se tipprovdi rapport aktar dettaljat aktar tard.
UPD: is-servizz ta' verifika taċ-ċertifikati onlajn jista' ma jaħdimx minn indirizzi IP Russi.
Sors: www.habr.com