LetsEncrypt, ки сертификатҳои ройгони SSL-ро барои рамзгузорӣ пешниҳод мекунад, маҷбур аст, ки баъзе сертификатҳоро бозхонд.
Мушкилот ба он вобаста аст дар нармафзори назорати Боулдер, ки барои сохтани CA истифода мешавад. Одатан, санҷиши DNS-и сабти CAA ҳамзамон бо тасдиқи моликияти домен сурат мегирад ва аксари муштариён фавран пас аз санҷиш сертификат мегиранд, аммо таҳиягарони нармафзор онро тавре сохтаанд, ки натиҷаи санҷиш дар давоми 30 рӯзи оянда гузаронидашуда ҳисобида мешавад. . Дар баъзе ҳолатҳо, сабтҳоро танҳо пеш аз додани сертификат бори дуюм тафтиш кардан мумкин аст, алахусус CAA бояд дар давоми 8 соат пеш аз додани сертификат дубора тафтиш карда шавад, аз ин рӯ ҳама домени пеш аз ин мӯҳлат тасдиқшуда бояд дубора тафтиш карда шаванд.
Хато чист? Агар дархости сертификат дорои N доменҳо бошад, ки санҷиши такрории CAA-ро талаб мекунад, Боулдер яке аз онҳоро интихоб мекунад ва онро N маротиба тафтиш мекунад. Дар натиҷа, ҳатто агар шумо дертар (то X+30 рӯз) сабти CAA гузоред, ки додани сертификати LetsEncrypt-ро манъ мекунад, шаҳодатнома додан мумкин буд.
Барои тасдиқи сертификатҳо, ширкат омода кардааст ки маърузаи муфассал нишон медихад.
Корбарони пешрафта метавонанд ҳама чизро худашон бо истифода аз фармонҳои зерин иҷро кунанд:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыМинбаъд шумо бояд назар кунед рақами силсилавии шумо, ва агар он дар рӯйхат бошад, тавсия дода мешавад, ки сертификат(ҳо)-ро нав кунед.
Барои навсозии сертификатҳо, шумо метавонед аз certbot истифода баред:
certbot renew --force-renewalМушкилот 29 феврали соли 2020 пайдо шуд; барои ҳалли мушкилот, додани сертификатҳо аз соати 3:10 UTC то 5:22 UTC боздошта шуд. Тибқи тафтишоти дохилӣ, хатогӣ 25 июли соли 2019 содир шудааст; ширкат дертар гузориши муфассал пешниҳод хоҳад кард.
UPD: хидмати санҷиши сертификати онлайн метавонад аз суроғаҳои IP-и Русия кор накунад.
Манбаъ: will.com