LetsEncrypt, który oferuje bezpłatne certyfikaty SSL do szyfrowania, jest zmuszony unieważnić niektóre certyfikaty.
Problem dotyczy
Jaki jest błąd? Jeśli żądanie certyfikatu zawiera N domen wymagających ponownej weryfikacji CAA, Boulder wybiera jedną z nich i weryfikuje ją N razy. Dzięki temu możliwe było wystawienie certyfikatu nawet jeśli później (do X+30 dni) ustawiłeś rekord CAA zabraniający wystawienia certyfikatu LetsEncrypt.
W celu weryfikacji certyfikatów firma przygotowała
Zaawansowani użytkownicy mogą zrobić wszystko sami, używając następujących poleceń:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Następnie musisz spojrzeć
Aby zaktualizować certyfikaty, możesz użyć certbota:
certbot renew --force-renewal
Problem został wykryty 29 lutego 2020 roku, aby go rozwiązać, wydawanie certyfikatów zostało zawieszone w godzinach od 3:10 UTC do 5:22 UTC. Jak wynika z wewnętrznego dochodzenia, błąd popełniono 25 lipca 2019 r., bardziej szczegółowy raport spółka przekaże później.
UPD: usługa weryfikacji certyfikatu online może nie działać z rosyjskich adresów IP.
Źródło: www.habr.com