LetsEncrypt, que oferece certificados SSL gratuitos para criptografia, é forçado a revogar alguns certificados.
O problema está relacionado no software de controle Boulder usado para construir o CA. Normalmente, a verificação DNS do registro CAA ocorre simultaneamente com a confirmação da propriedade do domínio, e a maioria dos assinantes recebe um certificado imediatamente após a verificação, mas os desenvolvedores de software fizeram isso para que o resultado da verificação fosse considerado aprovado nos próximos 30 dias. . Em alguns casos, é possível verificar os registros uma segunda vez antes da emissão do certificado, em particular o CAA precisa ser verificado novamente dentro de 8 horas antes da emissão, portanto, qualquer domínio verificado antes desse período deve ser verificado novamente.
Qual é o erro? Se uma solicitação de certificado contém N domínios que exigem verificação CAA repetida, Boulder seleciona um deles e o verifica N vezes. Como resultado, foi possível emitir um certificado mesmo se posteriormente (até X+30 dias) você definisse um registro CAA que proíbe a emissão de um certificado LetsEncrypt.
Para verificar os certificados, a empresa preparou que mostrará um relatório detalhado.
Usuários avançados podem fazer tudo sozinhos usando os seguintes comandos:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыEm seguida você precisa olhar seu número de série e, se estiver na lista, é recomendável renovar o(s) certificado(s).
Para atualizar certificados, você pode usar o certbot:
certbot renew --force-renewalO problema foi constatado no dia 29 de fevereiro de 2020; para solucionar o problema, a emissão de certificados foi suspensa das 3h10 UTC às 5h22 UTC. De acordo com a investigação interna, o erro foi cometido em 25 de julho de 2019; a empresa fornecerá um relatório mais detalhado posteriormente.
UPD: o serviço de verificação de certificado online pode não funcionar em endereços IP russos.
Fonte: habr.com