LetsEncrypt, som tilbyr gratis SSL-sertifikater for kryptering, er tvunget til å tilbakekalle noen sertifikater.
Problemet er relatert til
Hva er feilen? Hvis en sertifikatforespørsel inneholder N domener som krever gjentatt CAA-verifisering, velger Boulder ett av dem og verifiserer det N ganger. Som et resultat var det mulig å utstede et sertifikat selv om du senere (opptil X+30 dager) satte en CAA-post som forbyr utstedelse av et LetsEncrypt-sertifikat.
For å verifisere sertifikater har selskapet utarbeidet
Avanserte brukere kan gjøre alt selv ved å bruke følgende kommandoer:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Neste må du se
For å oppdatere sertifikater kan du bruke certbot:
certbot renew --force-renewal
Problemet ble funnet 29. februar 2020; for å løse problemet ble utstedelsen av sertifikater suspendert fra 3:10 UTC til 5:22 UTC. Ifølge den interne granskingen ble feilen gjort 25. juli 2019, selskapet vil komme med en mer detaljert rapport senere.
UPD: den elektroniske sertifikatverifiseringstjenesten fungerer kanskje ikke fra russiske IP-adresser.
Kilde: www.habr.com