LetsEncrypt, som erbjuder gratis SSL-certifikat för kryptering, tvingas återkalla vissa certifikat.
Problemet är relaterat till
Vad är felet? Om en certifikatbegäran innehåller N domäner som kräver upprepad CAA-verifiering, väljer Boulder en av dem och verifierar den N gånger. Som ett resultat var det möjligt att utfärda ett certifikat även om du senare (upp till X+30 dagar) satte en CAA-post som förbjuder utfärdande av ett LetsEncrypt-certifikat.
För att verifiera certifikat har företaget förberett
Avancerade användare kan göra allt själva med hjälp av följande kommandon:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Därefter måste du titta
För att uppdatera certifikat kan du använda certbot:
certbot renew --force-renewal
Problemet hittades den 29 februari 2020. För att lösa problemet avbröts utfärdandet av certifikat från 3:10 UTC till 5:22 UTC. Enligt internutredningen skedde felet den 25 juli 2019, bolaget kommer att lämna en mer detaljerad rapport senare.
UPD: tjänsten för onlinecertifikatverifiering kanske inte fungerar från ryska IP-adresser.
Källa: will.com