LetsEncrypt, ktorý ponúka bezplatné SSL certifikáty na šifrovanie, je nútený zrušiť niektoré certifikáty.
Problém súvisí s
v čom je chyba? Ak žiadosť o certifikát obsahuje N domén, ktoré vyžadujú opakované overenie CAA, Boulder vyberie jednu z nich a N-krát ju overí. Vďaka tomu bolo možné vydať certifikát, aj keď ste neskôr (až X+30 dní) nastavili CAA záznam, ktorý zakazuje vydanie certifikátu LetsEncrypt.
Na overenie certifikátov spoločnosť pripravila
Pokročilí používatelia môžu robiť všetko sami pomocou nasledujúcich príkazov:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Ďalej sa musíte pozrieť
Na aktualizáciu certifikátov môžete použiť certbot:
certbot renew --force-renewal
Problém bol zistený 29, pre vyriešenie problému bolo pozastavené vydávanie certifikátov od 2020:3 UTC do 10:5 UTC. Podľa interného vyšetrovania k chybe došlo 22. júla 25, podrobnejšiu správu spoločnosť poskytne neskôr.
UPD: online služba overovania certifikátov nemusí fungovať z ruských IP adries.
Zdroj: hab.com