Let's Encrypt प्रमाणपत्रहरूको बल्क रद्दीकरण

Let's Encrypt एउटा समुदाय-नियन्त्रित गैर-नाफा प्रमाणपत्र प्राधिकरण हो जसले सबैलाई निःशुल्क प्रमाणपत्रहरू प्रदान गर्दछ। चेतावनी दिए धेरै पहिले जारी गरिएका TLS/SSL प्रमाणपत्रहरूको आगामी खारेजको बारेमा। 116 मिलियन हाल मान्य Let's Encrypt प्रमाणपत्रहरू मध्ये, 3 मिलियन भन्दा अलि बढी (2.6%) रद्द गरिनेछ, जसमध्ये लगभग 1 मिलियन डुप्लिकेटहरू एउटै डोमेनमा बाँधिएका छन् (त्रुटिले मुख्य रूपमा प्रभावित प्रमाणपत्रहरू जुन धेरै बारम्बार अपडेट हुन्छन्, जुन हो। किन त्यहाँ धेरै डुप्लिकेटहरू छन्)। फिर्ता 4 मार्च को लागि निर्धारित गरिएको छ (ठ्याक्कै समय अझै निर्धारण गरिएको छैन, तर 3 बजे MSK सम्म फिर्ता हुने छैन)।

फेब्रुअरी 29 मा भएको खोजका कारण फिर्ता बोलाउन आवश्यक छ गल्ती। समस्या जुलाई 25, 2019 देखि देखा परेको छ र DNS मा CAA रेकर्डहरू जाँच गर्ने प्रणालीलाई असर गर्छ। CAA रेकर्ड (आरएफसी -१ 6844 १।,प्रमाणपत्र प्राधिकरण प्राधिकरण) ले डोमेन मालिकलाई प्रमाणीकरण प्राधिकरणलाई स्पष्ट रूपमा परिभाषित गर्न अनुमति दिन्छ जसको माध्यमबाट निर्दिष्ट डोमेनको लागि प्रमाणपत्रहरू उत्पन्न गर्न सकिन्छ। यदि CA CAA रेकर्डहरूमा सूचीबद्ध छैन भने, यसले दिइएको डोमेनको लागि प्रमाणपत्रहरू जारी गर्न रोक लगाउनु पर्छ र डोमेन मालिकलाई सम्झौता गर्ने प्रयासहरूको बारेमा सूचित गर्नुपर्छ। धेरैजसो अवस्थामा, CAA चेक पास गरेपछि तुरुन्त प्रमाणपत्र अनुरोध गरिन्छ, तर चेकको नतिजा अर्को 30 दिनको लागि मान्य मानिन्छ। नियमहरूले नयाँ प्रमाणपत्र जारी गर्नु अघि 8 घण्टा भन्दा पछि पुन: प्रमाणीकरण गर्न आवश्यक छ (अर्थात, यदि नयाँ प्रमाणपत्र अनुरोध गर्दा अन्तिम निरीक्षण पछि 8 घण्टा बितिसकेको छ भने, पुन: प्रमाणीकरण आवश्यक छ)।

त्रुटि देखा पर्दछ यदि प्रमाणपत्र अनुरोधले एकै पटक धेरै डोमेन नामहरू कभर गर्दछ, जसमध्ये प्रत्येकलाई CAA रेकर्ड जाँच आवश्यक पर्दछ। त्रुटिको सार यो हो कि पुन: जाँचको समयमा, सबै डोमेनहरू प्रमाणित गर्नुको सट्टा, सूचीबाट एउटा मात्र डोमेन पुन: जाँच गरियो (यदि अनुरोधमा N डोमेनहरू छन् भने, N फरक जाँचहरूको सट्टा, एउटा डोमेन N जाँच गरिएको थियो। पटक)। बाँकी डोमेनहरूको लागि, दोस्रो जाँच गरिएको थिएन र निर्णय गर्दा पहिलो चेकबाट डाटा प्रयोग गरिएको थियो (अर्थात्, 30 दिन पुरानो डाटा प्रयोग गरिएको थियो)। नतिजाको रूपमा, पहिलो प्रमाणीकरण पछि 30 दिन भित्र, CAA रेकर्डको मान परिवर्तन गरी Let's Encrypt स्वीकार्य CAs को सूचीबाट हटाइए तापनि Let's Encrypt ले प्रमाणपत्र जारी गर्न सक्छ।

यदि प्रमाणपत्र प्राप्त गर्दा सम्पर्क जानकारी भरिएको थियो भने प्रभावित प्रयोगकर्ताहरूलाई इमेलद्वारा सूचित गरिन्छ। तपाईं डाउनलोड गरेर आफ्नो प्रमाणपत्र जाँच गर्न सक्नुहुन्छ सूची रद्द गरिएका प्रमाणपत्रहरू वा प्रयोग गर्ने क्रम संख्याहरू अनलाइन सेवा (आईपी ठेगानामा अवस्थित, अवरुद्ध Roskomnadzor द्वारा रूसी संघ मा)। तपाईले आदेश प्रयोग गरेर रूचिको डोमेनको लागि प्रमाणपत्रको क्रम संख्या पत्ता लगाउन सक्नुहुन्छ:

openssl s_client -connect example.com:443 -showcerts /dev/null\
| openssl x509 -text -noout | grep -A 1 सिरियल\ नम्बर | tr -d :

स्रोत: opennet.ru