LetsEncrypt, som erbjuder gratis SSL-certifikat för kryptering, tvingas återkalla vissa certifikat.
Problemet är relaterat till i Boulder-hanteringsprogramvaran som används för att bygga CA. Vanligtvis sker DNS-verifieringen av CAA-posten samtidigt med bekräftelsen av domänägande, och de flesta prenumeranter får ett certifikat direkt efter verifiering, men mjukvaruutvecklarna har gjort det så att resultatet av verifieringen anses vara godkänt inom de närmaste 30 dagarna . I vissa fall är det möjligt att kontrollera poster en andra gång precis innan certifikatet utfärdas, i synnerhet måste CAA verifieras på nytt inom 8 timmar före utfärdandet, så alla domäner som verifierats före denna period måste verifieras på nytt.
Vad är felet? Om en certifikatbegäran innehåller N domäner som kräver upprepad CAA-verifiering, väljer Boulder en av dem och verifierar den N gånger. Som ett resultat var det möjligt att utfärda ett certifikat även om du senare (upp till X+30 dagar) satte en CAA-post som förbjuder utfärdande av ett LetsEncrypt-certifikat.
För att verifiera certifikat har företaget förberett som kommer att visa en detaljerad rapport.
Avancerade användare kan göra allt själva med hjälp av följande kommandon:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыDärefter måste du titta ditt serienummer, och om det finns på listan, rekommenderas att förnya certifikatet/certifikaten.
För att uppdatera certifikat kan du använda certbot:
certbot renew --force-renewalProblemet hittades den 29 februari 2020. För att lösa problemet avbröts utfärdandet av certifikat från 3:10 UTC till 5:22 UTC. Enligt internutredningen skedde felet den 25 juli 2019, bolaget kommer att lämna en mer detaljerad rapport senare.
UPD: tjänsten för onlinecertifikatverifiering kanske inte fungerar från ryska IP-adresser.
Källa: will.com