LetsEncrypt، جيڪو پيش ڪري ٿو مفت SSL سرٽيفڪيٽن لاءِ انڪرپشن، ڪجهه سرٽيفڪيٽن کي رد ڪرڻ تي مجبور ڪيو ويو آهي.
مسئلو سان لاڳاپيل آهي
غلطي ڪهڙي آهي؟ جيڪڏهن هڪ سرٽيفڪيٽ جي درخواست ۾ N ڊومينز شامل آهن جن کي بار بار CAA جي تصديق جي ضرورت هوندي آهي، بولڊر انهن مان هڪ کي چونڊيندو آهي ۽ ان جي تصديق ڪري ٿو N ڀيرا. نتيجي طور، اهو ممڪن هو ته هڪ سرٽيفڪيٽ جاري ڪيو جيتوڻيڪ توهان بعد ۾ (X+30 ڏينهن تائين) هڪ CAA رڪارڊ قائم ڪيو جيڪو هڪ LetsEncrypt سرٽيفڪيٽ جاري ڪرڻ کان منع ڪري ٿو.
سرٽيفڪيٽ جي تصديق ڪرڻ لاء، ڪمپني تيار ڪئي آهي
ترقي يافته استعمال ڪندڙ سڀ ڪجھ پاڻ ڪري سگھن ٿا ھيٺ ڏنل حڪمن کي استعمال ڪندي:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
اڳيان توهان کي ڏسڻ جي ضرورت آهي
سرٽيفڪيٽن کي اپڊيٽ ڪرڻ لاءِ، توھان استعمال ڪري سگھوٿا certbot:
certbot renew --force-renewal
مسئلو 29 فيبروري 2020 تي مليو؛ مسئلو حل ڪرڻ لاءِ، سرٽيفڪيٽ جاري ڪرڻ کي معطل ڪيو ويو 3:10 UTC کان 5:22 UTC تائين. اندروني تحقيق موجب، غلطي 25 جولاء 2019 تي ڪئي وئي هئي، ڪمپني وڌيڪ تفصيلي رپورٽ بعد ۾ فراهم ڪندي.
UPD: آن لائن سرٽيفڪيٽ جي تصديق جي خدمت روسي IP پتي کان ڪم نه ڪري سگھي ٿي.
جو ذريعو: www.habr.com