LetsEncrypt ซึ่งให้บริการใบรับรอง SSL ฟรีสำหรับการเข้ารหัส ถูกบังคับให้เพิกถอนใบรับรองบางส่วน
ปัญหาเกี่ยวข้องกับ
ข้อผิดพลาดคืออะไร? หากคำขอใบรับรองมี N โดเมนที่ต้องมีการตรวจสอบ CAA ซ้ำ Boulder จะเลือกโดเมนใดรายการหนึ่งและยืนยัน N ครั้ง ด้วยเหตุนี้ จึงเป็นไปได้ที่จะออกใบรับรองแม้ว่าคุณจะตั้งค่าบันทึก CAA ในภายหลัง (สูงสุด X+30 วัน) ที่ห้ามไม่ให้ออกใบรับรอง LetsEncrypt ก็ตาม
เพื่อตรวจสอบใบรับรอง ทางบริษัทได้จัดทำ
ผู้ใช้ขั้นสูงสามารถทำทุกอย่างได้ด้วยตัวเองโดยใช้คำสั่งต่อไปนี้:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
ต่อไปคุณต้องดู
หากต้องการอัปเดตใบรับรอง คุณสามารถใช้ certbot:
certbot renew --force-renewal
พบปัญหาเมื่อวันที่ 29 กุมภาพันธ์ 2020 เพื่อแก้ไขปัญหา การออกใบรับรองจึงถูกระงับตั้งแต่เวลา 3:10 UTC ถึง 5:22 UTC จากการสอบสวนภายในพบว่าเกิดข้อผิดพลาดเมื่อวันที่ 25 กรกฎาคม 2019 โดยบริษัทจะจัดทำรายงานโดยละเอียดเพิ่มเติมในภายหลัง
UPD: บริการตรวจสอบใบรับรองออนไลน์อาจไม่ทำงานจากที่อยู่ IP ของรัสเซีย
ที่มา: will.com