ProHoster > Blog > Administrasi > LetsEncrypt ngarencanakeun pikeun nyabut sertipikatna kusabab bug software

LetsEncrypt ngarencanakeun pikeun nyabut sertipikatna kusabab bug software

LetsEncrypt ngarencanakeun pikeun nyabut sertipikatna kusabab bug software
LetsEncrypt, anu nawiskeun sertipikat SSL gratis pikeun énkripsi, kapaksa nyabut sababaraha sertipikat.

Masalahna aya hubunganana sareng kasalahan software dina software kontrol batu gede dipaké pikeun ngawangun CA. Ilaharna, verifikasi DNS tina catetan CAA lumangsung sakaligus sareng konfirmasi kapamilikan domain, sareng sabagéan ageung palanggan nampi sertipikat langsung saatos verifikasi, tapi pamekar parangkat lunak parantos ngajantenkeun yén hasil verifikasi dianggap lulus dina 30 dinten ka hareup. . Dina sababaraha kasus, anjeun tiasa pariksa rékaman kadua kalina sateuacan sertipikat dikaluarkeun, khususna CAA kedah diverifikasi deui dina 8 jam sateuacan dikaluarkeun, janten domain anu diverifikasi sateuacan periode ieu kedah diverifikasi deui.

Naon kasalahan? Upami pamundut sertipikat ngandung N domain anu peryogi verifikasi CAA diulang, Boulder milih salah sahiji sareng pariksa deui N kali. Hasilna, éta mungkin ngaluarkeun sertipikat malah lamun engké (nepi ka X + 30 poé) nyetel catetan CAA nu prohibits penerbitan sertipikat LetsEncrypt.

Pikeun pariksa sertipikat, perusahaan parantos nyiapkeun alat onlinenu bakal nembongkeun laporan lengkep.

Pamaké canggih tiasa ngalakukeun sadayana nyalira nganggo paréntah di handap ieu:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

Satuluyna anjeun kudu néangan di dieu angka serial Anjeun, sarta lamun éta dina daptar, eta disarankeun pikeun renew sertipikat (e).

Pikeun ngapdet sertipikat, anjeun tiasa nganggo certbot:

certbot renew --force-renewal

Masalahna kapanggih dina 29 Pebruari 2020; pikeun ngabéréskeun masalah éta, penerbitan sertipikat ditunda ti 3:10 UTC ka 5:22 UTC. Numutkeun kana panalungtikan internal, kasalahan éta dilakukeun dina 25 Juli 2019; perusahaan bakal nyayogikeun laporan anu langkung rinci engké.

UPD: ladenan verifikasi sertipikat online moal tiasa dianggo tina alamat IP Rusia.

sumber: www.habr.com

Tambahkeun komentar