LetsEncrypt ซึ่งให้บริการใบรับรอง SSL ฟรีสำหรับการเข้ารหัส ถูกบังคับให้เพิกถอนใบรับรองบางส่วน
ปัญหาเกี่ยวข้องกับ ในซอฟต์แวร์ควบคุม Boulder ที่ใช้สร้าง CA โดยทั่วไป การตรวจสอบ DNS ของบันทึก CAA จะเกิดขึ้นพร้อมกันกับการยืนยันความเป็นเจ้าของโดเมน และสมาชิกส่วนใหญ่จะได้รับใบรับรองทันทีหลังจากการตรวจสอบ แต่ผู้พัฒนาซอฟต์แวร์ได้ทำขึ้นเพื่อให้ผลการตรวจสอบถือว่าผ่านภายใน 30 วันถัดไป . ในบางกรณี คุณสามารถตรวจสอบบันทึกเป็นครั้งที่สองก่อนที่จะออกใบรับรองได้ โดยเฉพาะ CAA จะต้องได้รับการยืนยันอีกครั้งภายใน 8 ชั่วโมงก่อนการออก ดังนั้นโดเมนใดๆ ที่ได้รับการตรวจสอบก่อนช่วงเวลานี้จะต้องได้รับการยืนยันอีกครั้ง
ข้อผิดพลาดคืออะไร? หากคำขอใบรับรองมี N โดเมนที่ต้องมีการตรวจสอบ CAA ซ้ำ Boulder จะเลือกโดเมนใดรายการหนึ่งและยืนยัน N ครั้ง ด้วยเหตุนี้ จึงเป็นไปได้ที่จะออกใบรับรองแม้ว่าคุณจะตั้งค่าบันทึก CAA ในภายหลัง (สูงสุด X+30 วัน) ที่ห้ามไม่ให้ออกใบรับรอง LetsEncrypt ก็ตาม
เพื่อตรวจสอบใบรับรอง ทางบริษัทได้จัดทำ ซึ่งจะแสดงรายงานโดยละเอียด
ผู้ใช้ขั้นสูงสามารถทำทุกอย่างได้ด้วยตัวเองโดยใช้คำสั่งต่อไปนี้:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыต่อไปคุณต้องดู หมายเลขซีเรียลของคุณ และหากอยู่ในรายการ ขอแนะนำให้ต่ออายุใบรับรอง
หากต้องการอัปเดตใบรับรอง คุณสามารถใช้ certbot:
certbot renew --force-renewalพบปัญหาเมื่อวันที่ 29 กุมภาพันธ์ 2020 เพื่อแก้ไขปัญหา การออกใบรับรองจึงถูกระงับตั้งแต่เวลา 3:10 UTC ถึง 5:22 UTC จากการสอบสวนภายในพบว่าเกิดข้อผิดพลาดเมื่อวันที่ 25 กรกฎาคม 2019 โดยบริษัทจะจัดทำรายงานโดยละเอียดเพิ่มเติมในภายหลัง
UPD: บริการตรวจสอบใบรับรองออนไลน์อาจไม่ทำงานจากที่อยู่ IP ของรัสเซีย
ที่มา: will.com