ProHoster > Log > administrasjon > LetsEncrypt planlegger å tilbakekalle sertifikatene sine på grunn av en programvarefeil

LetsEncrypt planlegger å tilbakekalle sertifikatene sine på grunn av en programvarefeil

LetsEncrypt planlegger å tilbakekalle sertifikatene sine på grunn av en programvarefeil
LetsEncrypt, som tilbyr gratis SSL-sertifikater for kryptering, er tvunget til å tilbakekalle noen sertifikater.

Problemet er relatert til programvarefeil i Boulder-administrasjonsprogramvaren som ble brukt til å bygge CA. Vanligvis skjer DNS-verifiseringen av CAA-posten samtidig med bekreftelse av domeneeierskap, og de fleste abonnenter mottar et sertifikat umiddelbart etter verifisering, men programvareutviklerne har gjort det slik at resultatet av verifiseringen anses som bestått innen de neste 30 dagene . I noen tilfeller er det mulig å sjekke postene en gang til rett før sertifikatet utstedes, spesielt CAA må verifiseres på nytt innen 8 timer før utstedelse, så ethvert domene som er verifisert før denne perioden må verifiseres på nytt.

Hva er feilen? Hvis en sertifikatforespørsel inneholder N domener som krever gjentatt CAA-verifisering, velger Boulder ett av dem og verifiserer det N ganger. Som et resultat var det mulig å utstede et sertifikat selv om du senere (opptil X+30 dager) satte en CAA-post som forbyr utstedelse av et LetsEncrypt-sertifikat.

For å verifisere sertifikater har selskapet utarbeidet nettverktøysom vil vise en detaljert rapport.

Avanserte brukere kan gjøre alt selv ved å bruke følgende kommandoer:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

Neste må du se her ditt serienummer, og hvis det står på listen, anbefales det å fornye sertifikatet(e).

For å oppdatere sertifikater kan du bruke certbot:

certbot renew --force-renewal

Problemet ble funnet 29. februar 2020; for å løse problemet ble utstedelsen av sertifikater suspendert fra 3:10 UTC til 5:22 UTC. Ifølge den interne granskingen ble feilen gjort 25. juli 2019, selskapet vil komme med en mer detaljert rapport senere.

UPD: den elektroniske sertifikatverifiseringstjenesten fungerer kanskje ikke fra russiske IP-adresser.

Kilde: www.habr.com

Legg til en kommentar