ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > LetsEncrypt సాఫ్ట్‌వేర్ బగ్ కారణంగా దాని సర్టిఫికేట్‌లను ఉపసంహరించుకోవాలని యోచిస్తోంది

LetsEncrypt సాఫ్ట్‌వేర్ బగ్ కారణంగా దాని సర్టిఫికేట్‌లను ఉపసంహరించుకోవాలని యోచిస్తోంది

LetsEncrypt సాఫ్ట్‌వేర్ బగ్ కారణంగా దాని సర్టిఫికేట్‌లను ఉపసంహరించుకోవాలని యోచిస్తోంది
గుప్తీకరణ కోసం ఉచిత SSL సర్టిఫికేట్‌లను అందించే LetsEncrypt, కొన్ని సర్టిఫికెట్‌లను ఉపసంహరించుకోవలసి వస్తుంది.

సమస్య సంబంధించినది సాఫ్ట్‌వేర్ లోపం CA నిర్మించడానికి ఉపయోగించే బౌల్డర్ కంట్రోల్ సాఫ్ట్‌వేర్‌లో. సాధారణంగా, CAA రికార్డ్ యొక్క DNS ధృవీకరణ డొమైన్ యాజమాన్యం యొక్క నిర్ధారణతో ఏకకాలంలో జరుగుతుంది మరియు చాలా మంది సబ్‌స్క్రైబర్‌లు ధృవీకరణ తర్వాత వెంటనే సర్టిఫికేట్‌ను స్వీకరిస్తారు, అయితే సాఫ్ట్‌వేర్ డెవలపర్‌లు దానిని తయారు చేసారు, తద్వారా ధృవీకరణ ఫలితం తదుపరి 30 రోజుల్లో ఆమోదించబడుతుంది . కొన్ని సందర్భాల్లో, సర్టిఫికేట్ జారీ చేయడానికి ముందు రెండవసారి రికార్డులను తనిఖీ చేయడం సాధ్యమవుతుంది, ప్రత్యేకించి CAA జారీ చేయడానికి 8 గంటలలోపు మళ్లీ ధృవీకరించబడాలి, కాబట్టి ఈ వ్యవధికి ముందు ధృవీకరించబడిన ఏదైనా డొమైన్ తప్పనిసరిగా మళ్లీ ధృవీకరించబడాలి.

తప్పు ఏమిటి? సర్టిఫికేట్ అభ్యర్థనలో పునరావృత CAA ధృవీకరణ అవసరమయ్యే N డొమైన్‌లు ఉంటే, బౌల్డర్ వాటిలో ఒకదాన్ని ఎంచుకుని, N సార్లు ధృవీకరిస్తుంది. ఫలితంగా, మీరు LetsEncrypt సర్టిఫికేట్ జారీని నిషేధించే CAA రికార్డ్‌ను సెట్ చేసిన తర్వాత (X+30 రోజుల వరకు) సర్టిఫికేట్ జారీ చేయడం సాధ్యమవుతుంది.

సర్టిఫికేట్లను ధృవీకరించడానికి, కంపెనీ సిద్ధం చేసింది ఆన్‌లైన్ సాధనంఇది ఒక వివరణాత్మక నివేదికను చూపుతుంది.

అధునాతన వినియోగదారులు కింది ఆదేశాలను ఉపయోగించి ప్రతిదాన్ని స్వయంగా చేయగలరు:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

తదుపరి మీరు చూడాలి ఇక్కడ మీ క్రమ సంఖ్య, మరియు అది జాబితాలో ఉన్నట్లయితే, సర్టిఫికెట్(లు)ని పునరుద్ధరించాలని సిఫార్సు చేయబడింది.

సర్టిఫికేట్‌లను అప్‌డేట్ చేయడానికి, మీరు certbotని ఉపయోగించవచ్చు:

certbot renew --force-renewal

ఫిబ్రవరి 29, 2020న సమస్య కనుగొనబడింది; సమస్యను పరిష్కరించడానికి, సర్టిఫికెట్‌ల జారీని 3:10 UTC నుండి 5:22 UTCకి తాత్కాలికంగా నిలిపివేశారు. అంతర్గత విచారణ ప్రకారం, జూలై 25, 2019న పొరపాటు జరిగింది; కంపెనీ మరింత వివరణాత్మక నివేదికను తర్వాత అందిస్తుంది.

UPD: ఆన్‌లైన్ సర్టిఫికేట్ ధృవీకరణ సేవ రష్యన్ IP చిరునామాల నుండి పని చేయకపోవచ్చు.

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి