LetsEncrypt, i cili ofron certifikata SSL falas për enkriptim, është i detyruar të revokojë disa certifikata.
Problemi lidhet me
Cili është gabimi? Nëse një kërkesë për certifikatë përmban N domene që kërkojnë verifikim të përsëritur CAA, Boulder zgjedh një prej tyre dhe e verifikon atë N herë. Si rezultat, ishte e mundur të lëshohej një certifikatë edhe nëse më vonë (deri në X+30 ditë) vendosni një rekord CAA që ndalon lëshimin e një certifikate LetsEncrypt.
Për verifikimin e certifikatave, kompania ka përgatitur
Përdoruesit e avancuar mund të bëjnë gjithçka vetë duke përdorur komandat e mëposhtme:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Tjetra ju duhet të shikoni
Për të përditësuar certifikatat, mund të përdorni certbot:
certbot renew --force-renewal
Problemi u konstatua më 29 shkurt 2020; për të zgjidhur problemin, lëshimi i certifikatave u pezullua nga ora 3:10 UTC në 5:22 UTC. Sipas hetimit të brendshëm, gabimi është bërë më 25 korrik 2019, kompania do të japë një raport më të detajuar më vonë.
UPD: shërbimi i verifikimit të certifikatës në internet mund të mos funksionojë nga adresat IP ruse.
Burimi: www.habr.com