ProHoster > Blog > administratë > LetsEncrypt planifikon të revokojë certifikatat e tij për shkak të një gabimi softuerësh

LetsEncrypt planifikon të revokojë certifikatat e tij për shkak të një gabimi softuerësh

LetsEncrypt planifikon të revokojë certifikatat e tij për shkak të një gabimi softuerësh
LetsEncrypt, i cili ofron certifikata SSL falas për enkriptim, është i detyruar të revokojë disa certifikata.

Problemi lidhet me gabim i softuerit në softuerin e kontrollit Boulder që përdoret për të ndërtuar CA. Në mënyrë tipike, verifikimi DNS i regjistrimit të AAC-së ndodh njëkohësisht me konfirmimin e pronësisë së domenit dhe shumica e abonentëve marrin një certifikatë menjëherë pas verifikimit, por zhvilluesit e softuerit e kanë bërë atë në mënyrë që rezultati i verifikimit të konsiderohet i kaluar brenda 30 ditëve të ardhshme. . Në disa raste, është e mundur të kontrollohen të dhënat për herë të dytë pak para lëshimit të certifikatës, veçanërisht AAC-ja duhet të riverifikohet brenda 8 orëve para lëshimit, kështu që çdo domen i verifikuar përpara kësaj periudhe duhet të riverifikohet.

Cili është gabimi? Nëse një kërkesë për certifikatë përmban N domene që kërkojnë verifikim të përsëritur CAA, Boulder zgjedh një prej tyre dhe e verifikon atë N herë. Si rezultat, ishte e mundur të lëshohej një certifikatë edhe nëse më vonë (deri në X+30 ditë) vendosni një rekord CAA që ndalon lëshimin e një certifikate LetsEncrypt.

Për verifikimin e certifikatave, kompania ka përgatitur mjet onlinee cila do të tregojë një raport të detajuar.

Përdoruesit e avancuar mund të bëjnë gjithçka vetë duke përdorur komandat e mëposhtme:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

Tjetra ju duhet të shikoni këtu numrin tuaj serial dhe nëse është në listë, rekomandohet rinovimi i certifikatës(eve).

Për të përditësuar certifikatat, mund të përdorni certbot:

certbot renew --force-renewal

Problemi u konstatua më 29 shkurt 2020; për të zgjidhur problemin, lëshimi i certifikatave u pezullua nga ora 3:10 UTC në 5:22 UTC. Sipas hetimit të brendshëm, gabimi është bërë më 25 korrik 2019, kompania do të japë një raport më të detajuar më vonë.

UPD: shërbimi i verifikimit të certifikatës në internet mund të mos funksionojë nga adresat IP ruse.

Burimi: www.habr.com

Shto një koment