గుప్తీకరణ కోసం ఉచిత SSL సర్టిఫికేట్లను అందించే LetsEncrypt, కొన్ని సర్టిఫికెట్లను ఉపసంహరించుకోవలసి వస్తుంది.
సమస్య సంబంధించినది
తప్పు ఏమిటి? సర్టిఫికేట్ అభ్యర్థనలో పునరావృత CAA ధృవీకరణ అవసరమయ్యే N డొమైన్లు ఉంటే, బౌల్డర్ వాటిలో ఒకదాన్ని ఎంచుకుని, N సార్లు ధృవీకరిస్తుంది. ఫలితంగా, మీరు LetsEncrypt సర్టిఫికేట్ జారీని నిషేధించే CAA రికార్డ్ను సెట్ చేసిన తర్వాత (X+30 రోజుల వరకు) సర్టిఫికేట్ జారీ చేయడం సాధ్యమవుతుంది.
సర్టిఫికేట్లను ధృవీకరించడానికి, కంపెనీ సిద్ధం చేసింది
అధునాతన వినియోగదారులు కింది ఆదేశాలను ఉపయోగించి ప్రతిదాన్ని స్వయంగా చేయగలరు:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
తదుపరి మీరు చూడాలి
సర్టిఫికేట్లను అప్డేట్ చేయడానికి, మీరు certbotని ఉపయోగించవచ్చు:
certbot renew --force-renewal
ఫిబ్రవరి 29, 2020న సమస్య కనుగొనబడింది; సమస్యను పరిష్కరించడానికి, సర్టిఫికెట్ల జారీని 3:10 UTC నుండి 5:22 UTCకి తాత్కాలికంగా నిలిపివేశారు. అంతర్గత విచారణ ప్రకారం, జూలై 25, 2019న పొరపాటు జరిగింది; కంపెనీ మరింత వివరణాత్మక నివేదికను తర్వాత అందిస్తుంది.
UPD: ఆన్లైన్ సర్టిఫికేట్ ధృవీకరణ సేవ రష్యన్ IP చిరునామాల నుండి పని చేయకపోవచ్చు.
మూలం: www.habr.com