پرو هوسٽر > بلاگ > انتظاميه > LetsEncrypt هڪ سافٽ ويئر بگ جي ڪري ان جي سرٽيفڪيٽ کي رد ڪرڻ جو منصوبو آهي

LetsEncrypt هڪ سافٽ ويئر بگ جي ڪري ان جي سرٽيفڪيٽ کي رد ڪرڻ جو منصوبو آهي

LetsEncrypt هڪ سافٽ ويئر بگ جي ڪري ان جي سرٽيفڪيٽ کي رد ڪرڻ جو منصوبو آهي
LetsEncrypt، جيڪو پيش ڪري ٿو مفت SSL سرٽيفڪيٽن لاءِ انڪرپشن، ڪجهه سرٽيفڪيٽن کي رد ڪرڻ تي مجبور ڪيو ويو آهي.

مسئلو سان لاڳاپيل آهي سافٽ ويئر جي غلطي بولڊر مينيجمينٽ سافٽ ويئر ۾ CA تعمير ڪرڻ لاء استعمال ڪيو ويو. عام طور تي، CAA رڪارڊ جي DNS تصديق هڪ ئي وقت ڊومين جي ملڪيت جي تصديق سان ٿيندي آهي، ۽ اڪثر رڪنن کي تصديق کان پوءِ فوري طور تي هڪ سرٽيفڪيٽ ملي ويندو آهي، پر سافٽ ويئر ڊولپرز اهو ٺاهيو آهي ته جيئن تصديق جي نتيجي کي ايندڙ 30 ڏينهن اندر منظور ڪيو وڃي. . ڪجهه حالتن ۾، اهو ممڪن آهي ته سرٽيفڪيٽ جاري ٿيڻ کان پهريان هڪ ٻيو ڀيرو رڪارڊ چيڪ ڪريو، خاص طور تي CAA کي جاري ٿيڻ کان پهريان 8 ڪلاڪن اندر ٻيهر تصديق ڪرڻ جي ضرورت آهي، تنهنڪري ڪنهن به ڊومين جي تصديق ٿيڻ کان اڳ هن دور جي ٻيهر تصديق ٿيڻ گهرجي.

غلطي ڪهڙي آهي؟ جيڪڏهن هڪ سرٽيفڪيٽ جي درخواست ۾ N ڊومينز شامل آهن جن کي بار بار CAA جي تصديق جي ضرورت هوندي آهي، بولڊر انهن مان هڪ کي چونڊيندو آهي ۽ ان جي تصديق ڪري ٿو N ڀيرا. نتيجي طور، اهو ممڪن هو ته هڪ سرٽيفڪيٽ جاري ڪيو جيتوڻيڪ توهان بعد ۾ (X+30 ڏينهن تائين) هڪ CAA رڪارڊ قائم ڪيو جيڪو هڪ LetsEncrypt سرٽيفڪيٽ جاري ڪرڻ کان منع ڪري ٿو.

سرٽيفڪيٽ جي تصديق ڪرڻ لاء، ڪمپني تيار ڪئي آهي آن لائن اوزارجيڪو تفصيلي رپورٽ پيش ڪندو.

ترقي يافته استعمال ڪندڙ سڀ ڪجھ پاڻ ڪري سگھن ٿا ھيٺ ڏنل حڪمن کي استعمال ڪندي:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

اڳيان توهان کي ڏسڻ جي ضرورت آهي هتي توهان جو سيريل نمبر، ۽ جيڪڏهن اهو فهرست تي آهي، اها سفارش ڪئي وئي آهي ته سرٽيفڪيٽ کي تجديد ڪيو وڃي.

سرٽيفڪيٽن کي اپڊيٽ ڪرڻ لاءِ، توھان استعمال ڪري سگھوٿا certbot:

certbot renew --force-renewal

مسئلو 29 فيبروري 2020 تي مليو؛ مسئلو حل ڪرڻ لاءِ، سرٽيفڪيٽ جاري ڪرڻ کي معطل ڪيو ويو 3:10 UTC کان 5:22 UTC تائين. اندروني تحقيق موجب، غلطي 25 جولاء 2019 تي ڪئي وئي هئي، ڪمپني وڌيڪ تفصيلي رپورٽ بعد ۾ فراهم ڪندي.

UPD: آن لائن سرٽيفڪيٽ جي تصديق جي خدمت روسي IP پتي کان ڪم نه ڪري سگھي ٿي.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو