குறியாக்கத்திற்கான இலவச SSL சான்றிதழ்களை வழங்கும் LetsEncrypt, சில சான்றிதழ்களைத் திரும்பப்பெற வேண்டிய கட்டாயத்தில் உள்ளது.
பிரச்சனை தொடர்புடையது CA ஐ உருவாக்க பயன்படும் போல்டர் மேலாண்மை மென்பொருளில். பொதுவாக, CAA பதிவின் DNS சரிபார்ப்பு ஒரே நேரத்தில் டொமைன் உரிமையை உறுதிப்படுத்துகிறது, மேலும் பெரும்பாலான சந்தாதாரர்கள் சரிபார்த்த உடனேயே சான்றிதழைப் பெறுவார்கள், ஆனால் மென்பொருள் உருவாக்குநர்கள் அதை உருவாக்கியுள்ளனர். . சில சமயங்களில், சான்றிதழ் வழங்கப்படுவதற்கு சற்று முன் இரண்டாவது முறையாக பதிவுகளைச் சரிபார்க்க முடியும், குறிப்பாக CAA வழங்கப்படுவதற்கு 30 மணி நேரத்திற்குள் மீண்டும் சரிபார்க்கப்பட வேண்டும், எனவே இந்தக் காலத்திற்கு முன் சரிபார்க்கப்பட்ட எந்த டொமைனும் மீண்டும் சரிபார்க்கப்பட வேண்டும்.
என்ன தவறு? ஒரு சான்றிதழ் கோரிக்கையில் மீண்டும் மீண்டும் CAA சரிபார்ப்பு தேவைப்படும் N டொமைன்கள் இருந்தால், Boulder அவற்றில் ஒன்றைத் தேர்ந்தெடுத்து N முறை சரிபார்க்கும். இதன் விளைவாக, LetsEncrypt சான்றிதழை வழங்குவதைத் தடைசெய்யும் CAA பதிவை நீங்கள் பின்னர் (X+30 நாட்கள் வரை) அமைத்தாலும் சான்றிதழை வழங்க முடியும்.
சான்றிதழ்களை சரிபார்க்க, நிறுவனம் தயார் செய்துள்ளது இது ஒரு விரிவான அறிக்கையைக் காண்பிக்கும்.
மேம்பட்ட பயனர்கள் பின்வரும் கட்டளைகளைப் பயன்படுத்தி எல்லாவற்றையும் தாங்களாகவே செய்யலாம்:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыஅடுத்து நீங்கள் பார்க்க வேண்டும் உங்கள் வரிசை எண், அது பட்டியலில் இருந்தால், சான்றிதழை(களை) புதுப்பிக்க பரிந்துரைக்கப்படுகிறது.
சான்றிதழ்களைப் புதுப்பிக்க, நீங்கள் certbot ஐப் பயன்படுத்தலாம்:
certbot renew --force-renewalபிப்ரவரி 29, 2020 அன்று சிக்கல் கண்டறியப்பட்டது; சிக்கலைத் தீர்க்க, சான்றிதழ்கள் வழங்குவது 3:10 UTC இலிருந்து 5:22 UTC வரை இடைநிறுத்தப்பட்டது. உள் விசாரணையின்படி, ஜூலை 25, 2019 அன்று பிழை ஏற்பட்டது; நிறுவனம் பின்னர் விரிவான அறிக்கையை வழங்கும்.
UPD: ஆன்லைன் சான்றிதழ் சரிபார்ப்பு சேவை ரஷ்ய IP முகவரிகளில் இருந்து வேலை செய்யாமல் போகலாம்.
ஆதாரம்: www.habr.com