LetsEncrypt, que oferece certificados SSL gratuitos para criptografia, é forçado a revogar alguns certificados.
O problema está relacionado
Qual é o erro? Se uma solicitação de certificado contém N domínios que exigem verificação CAA repetida, Boulder seleciona um deles e o verifica N vezes. Como resultado, foi possível emitir um certificado mesmo se posteriormente (até X+30 dias) você definisse um registro CAA que proíbe a emissão de um certificado LetsEncrypt.
Para verificar os certificados, a empresa preparou
Usuários avançados podem fazer tudo sozinhos usando os seguintes comandos:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Em seguida você precisa olhar
Para atualizar certificados, você pode usar o certbot:
certbot renew --force-renewal
O problema foi constatado no dia 29 de fevereiro de 2020; para solucionar o problema, a emissão de certificados foi suspensa das 3h10 UTC às 5h22 UTC. De acordo com a investigação interna, o erro foi cometido em 25 de julho de 2019; a empresa fornecerá um relatório mais detalhado posteriormente.
UPD: o serviço de verificação de certificado online pode não funcionar em endereços IP russos.
Fonte: habr.com