Shifrlash uchun bepul SSL sertifikatlarini taklif qiluvchi LetsEncrypt ba'zi sertifikatlarni bekor qilishga majbur.
Muammo bilan bog'liq
Xato nima? Agar sertifikat so'rovida takroriy CAA tekshiruvini talab qiluvchi N domen mavjud bo'lsa, Boulder ulardan birini tanlaydi va uni N marta tekshiradi. Natijada, keyinchalik (X+30 kungacha) LetsEncrypt sertifikatini berishni taqiqlovchi CAA rekordini o'rnatgan bo'lsangiz ham sertifikat berish mumkin bo'ldi.
Sertifikatlarni tekshirish uchun kompaniya tayyorladi
Ilg'or foydalanuvchilar quyidagi buyruqlar yordamida hamma narsani o'zlari qilishlari mumkin:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
Keyinchalik qarash kerak
Sertifikatlarni yangilash uchun siz certbot-dan foydalanishingiz mumkin:
certbot renew --force-renewal
Muammo 29-yil 2020-fevralda aniqlandi; muammoni hal qilish uchun sertifikatlar berish UTC 3:10 dan UTC 5:22 gacha to‘xtatildi. Ichki tergov ma'lumotlariga ko'ra, xato 25 yil 2019 iyulda sodir bo'lgan, kompaniya batafsilroq hisobotni keyinroq taqdim etadi.
UPD: onlayn sertifikatni tekshirish xizmati rus IP manzillaridan ishlamasligi mumkin.
Manba: www.habr.com