LetsEncrypt، کوم چې د کوډ کولو لپاره وړیا SSL سندونه وړاندې کوي، مجبور دی چې ځینې سندونه لغوه کړي.
ستونزه سره تړاو لري د بولډر کنټرول سافټویر کې چې د CA جوړولو لپاره کارول کیږي. عموما، د CAA ریکارډ د DNS تصدیق د ډومین ملکیت تایید سره یوځل واقع کیږي، او ډیری پیرودونکي د تایید وروسته سمدستي یو سند ترلاسه کوي، مګر د سافټویر پراختیا کونکو دا جوړ کړی ترڅو د تایید پایله په راتلونکو 30 ورځو کې تیریږي. . په ځینو حاالتو کې، دا ممکنه ده چې د سند صادرولو دمخه د دویم ځل ریکارډونه وګورئ، په ځانګړې توګه CAA باید د 8 ساعتونو دننه بیا تایید شي، نو هر هغه ډومین چې د دې مودې څخه مخکې تایید شوی باید بیا تایید شي.
تېروتنه څه ده؟ که چیرې د سند غوښتنه N ډومینونه ولري چې د CAA تکرار تایید ته اړتیا لري، بولډر یو له دوی څخه غوره کوي او دا N ځله تاییدوي. د پایلې په توګه، دا ممکنه وه چې یو سند صادر کړئ حتی که تاسو وروسته (د X+30 ورځو پورې) د CAA ریکارډ ترتیب کړئ چې د LetsEncrypt سند صادرول منع کوي.
د سندونو تصدیق کولو لپاره، شرکت چمتو کړی دی چې تفصیلي راپور به وړاندې کړي.
پرمختللي کارونکي کولی شي د لاندې کمانډونو په کارولو سره هرڅه پخپله ترسره کړي:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыبیا تاسو اړتیا لرئ وګورئ ستاسو سیریل نمبر، او که دا په لیست کې وي، نو سپارښتنه کیږي چې د سند نوي کول.
د سندونو تازه کولو لپاره ، تاسو کولی شئ سرټ بوټ وکاروئ:
certbot renew --force-renewalستونزه د فبروري په 29، 2020 کې وموندل شوه؛ د ستونزې د حل لپاره، د سندونو صادرول د 3:10 UTC څخه تر 5:22 UTC پورې وځنډول شول. د داخلي تحقیقاتو له مخې، تېروتنه د جولای په 25، 2019 کې شوې وه؛ شرکت به وروسته نور تفصیلي راپور وړاندې کړي.
UPD: د آنلاین سند تصدیق کولو خدمت ممکن د روسیې IP پتې څخه کار ونکړي.
سرچینه: www.habr.com