LetsEncrypt, ktorý ponúka bezplatné SSL certifikáty na šifrovanie, je nútený zrušiť niektoré certifikáty.
Problém súvisí s v ovládacom softvéri Boulder, ktorý sa používa na zostavenie CA. Overenie DNS záznamu CAA sa zvyčajne uskutočňuje súčasne s potvrdením vlastníctva domény a väčšina predplatiteľov dostane certifikát ihneď po overení, ale vývojári softvéru to urobili tak, že výsledok overenia sa považuje za úspešný v priebehu nasledujúcich 30 dní. . V niektorých prípadoch je možné skontrolovať záznamy druhýkrát tesne pred vydaním certifikátu, najmä CAA je potrebné opätovne overiť do 8 hodín pred vydaním, takže každá doména overená pred týmto obdobím musí byť znovu overená.
v čom je chyba? Ak žiadosť o certifikát obsahuje N domén, ktoré vyžadujú opakované overenie CAA, Boulder vyberie jednu z nich a N-krát ju overí. Vďaka tomu bolo možné vydať certifikát, aj keď ste neskôr (až X+30 dní) nastavili CAA záznam, ktorý zakazuje vydanie certifikátu LetsEncrypt.
Na overenie certifikátov spoločnosť pripravila ktorý zobrazí podrobnú správu.
Pokročilí používatelia môžu robiť všetko sami pomocou nasledujúcich príkazov:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыĎalej sa musíte pozrieť vaše sériové číslo, a ak je na zozname, odporúča sa obnoviť certifikát(y).
Na aktualizáciu certifikátov môžete použiť certbot:
certbot renew --force-renewalProblém bol zistený 29, pre vyriešenie problému bolo pozastavené vydávanie certifikátov od 2020:3 UTC do 10:5 UTC. Podľa interného vyšetrovania k chybe došlo 22. júla 25, podrobnejšiu správu spoločnosť poskytne neskôr.
UPD: online služba overovania certifikátov nemusí fungovať z ruských IP adries.
Zdroj: hab.com