LetsEncrypt, który oferuje bezpłatne certyfikaty SSL do szyfrowania, jest zmuszony unieważnić niektóre certyfikaty.
Problem dotyczy w oprogramowaniu do zarządzania Boulder używanym do zbudowania urzędu certyfikacji. Zazwyczaj weryfikacja DNS rekordu CAA następuje jednocześnie z potwierdzeniem własności domeny, a większość abonentów otrzymuje certyfikat od razu po weryfikacji, ale twórcy oprogramowania tak zadbali, aby wynik weryfikacji uznawano za zaliczony w ciągu najbliższych 30 dni . W niektórych przypadkach możliwe jest ponowne sprawdzenie zapisów tuż przed wydaniem certyfikatu, w szczególności CAA wymaga ponownej weryfikacji w ciągu 8 godzin przed wydaniem, dlatego każda domena zweryfikowana przed tym okresem musi zostać ponownie zweryfikowana.
Jaki jest błąd? Jeśli żądanie certyfikatu zawiera N domen wymagających ponownej weryfikacji CAA, Boulder wybiera jedną z nich i weryfikuje ją N razy. Dzięki temu możliwe było wystawienie certyfikatu nawet jeśli później (do X+30 dni) ustawiłeś rekord CAA zabraniający wystawienia certyfikatu LetsEncrypt.
W celu weryfikacji certyfikatów firma przygotowała który pokaże szczegółowy raport.
Zaawansowani użytkownicy mogą zrobić wszystko sami, używając następujących poleceń:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыNastępnie musisz spojrzeć numer seryjny i jeśli znajduje się na liście, zaleca się odnowienie certyfikatu(ów).
Aby zaktualizować certyfikaty, możesz użyć certbota:
certbot renew --force-renewalProblem został wykryty 29 lutego 2020 roku, aby go rozwiązać, wydawanie certyfikatów zostało zawieszone w godzinach od 3:10 UTC do 5:22 UTC. Jak wynika z wewnętrznego dochodzenia, błąd popełniono 25 lipca 2019 r., bardziej szczegółowy raport spółka przekaże później.
UPD: usługa weryfikacji certyfikatu online może nie działać z rosyjskich adresów IP.
Źródło: www.habr.com