Shifrlash uchun bepul SSL sertifikatlarini taklif qiluvchi LetsEncrypt ba'zi sertifikatlarni bekor qilishga majbur.
Muammo bilan bog'liq CA qurish uchun ishlatiladigan Boulder boshqaruv dasturida. Odatda, CAA yozuvining DNS tekshiruvi domenga egalik tasdiqlanishi bilan bir vaqtda sodir bo'ladi va ko'pchilik abonentlar tekshirilgandan so'ng darhol sertifikat oladilar, ammo dasturiy ta'minot ishlab chiquvchilari buni tekshirish natijasi keyingi 30 kun ichida o'tgan deb hisoblashadi. . Ba'zi hollarda, sertifikat berilishidan oldin yozuvlarni ikkinchi marta tekshirish mumkin, xususan, CAA berilishidan oldin 8 soat ichida qayta tekshirilishi kerak, shuning uchun ushbu muddatdan oldin tasdiqlangan har qanday domen qayta tekshirilishi kerak.
Xato nima? Agar sertifikat so'rovida takroriy CAA tekshiruvini talab qiluvchi N domen mavjud bo'lsa, Boulder ulardan birini tanlaydi va uni N marta tekshiradi. Natijada, keyinchalik (X+30 kungacha) LetsEncrypt sertifikatini berishni taqiqlovchi CAA rekordini o'rnatgan bo'lsangiz ham sertifikat berish mumkin bo'ldi.
Sertifikatlarni tekshirish uchun kompaniya tayyorladi batafsil hisobot ko'rsatadi.
Ilg'or foydalanuvchilar quyidagi buyruqlar yordamida hamma narsani o'zlari qilishlari mumkin:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыKeyinchalik qarash kerak sizning seriya raqamingiz va agar u ro'yxatda bo'lsa, sertifikat(lar)ni yangilash tavsiya etiladi.
Sertifikatlarni yangilash uchun siz certbot-dan foydalanishingiz mumkin:
certbot renew --force-renewalMuammo 29-yil 2020-fevralda aniqlandi; muammoni hal qilish uchun sertifikatlar berish UTC 3:10 dan UTC 5:22 gacha to‘xtatildi. Ichki tergov ma'lumotlariga ko'ra, xato 25 yil 2019 iyulda sodir bo'lgan, kompaniya batafsilroq hisobotni keyinroq taqdim etadi.
UPD: onlayn sertifikatni tekshirish xizmati rus IP manzillaridan ishlamasligi mumkin.
Manba: www.habr.com