Prohoster > Blog > quản lý > LetsEncrypt có kế hoạch thu hồi chứng chỉ do lỗi phần mềm

LetsEncrypt có kế hoạch thu hồi chứng chỉ do lỗi phần mềm

LetsEncrypt có kế hoạch thu hồi chứng chỉ do lỗi phần mềm
LetsEncrypt, nơi cung cấp chứng chỉ SSL miễn phí để mã hóa, buộc phải thu hồi một số chứng chỉ.

Vấn đề liên quan đến lỗi phần mềm trong phần mềm điều khiển Boulder được sử dụng để xây dựng CA. Thông thường, việc xác minh DNS của bản ghi CAA diễn ra đồng thời với việc xác nhận quyền sở hữu tên miền và hầu hết người đăng ký đều nhận được chứng chỉ ngay sau khi xác minh, nhưng các nhà phát triển phần mềm đã thực hiện điều đó để kết quả xác minh được coi là đã thông qua trong vòng 30 ngày tới . Trong một số trường hợp, có thể kiểm tra hồ sơ lần thứ hai ngay trước khi cấp chứng chỉ, cụ thể CAA cần được xác minh lại trong vòng 8 giờ trước khi cấp, do đó bất kỳ tên miền nào được xác minh trước thời gian này đều phải được xác minh lại.

Sai lầm là gì? Nếu yêu cầu chứng chỉ chứa N miền yêu cầu xác minh CAA lặp lại, Boulder sẽ chọn một trong số chúng và xác minh N lần. Do đó, bạn có thể cấp chứng chỉ ngay cả khi sau đó (tối đa X+30 ngày) thiết lập bản ghi CAA cấm cấp chứng chỉ LetsEncrypt.

Để xác minh chứng chỉ, công ty đã chuẩn bị công cụ trực tuyếnsẽ hiển thị một báo cáo chi tiết.

Người dùng nâng cao có thể tự làm mọi thứ bằng cách sử dụng các lệnh sau:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

Tiếp theo bạn cần xem đây số sê-ri của bạn và nếu nó có trong danh sách, bạn nên gia hạn (các) chứng chỉ.

Để cập nhật chứng chỉ, bạn có thể sử dụng certbot:

certbot renew --force-renewal

Sự cố được phát hiện vào ngày 29 tháng 2020 năm 3; để giải quyết sự cố, việc cấp chứng chỉ đã bị đình chỉ từ 10:5 UTC đến 22:25 UTC. Theo điều tra nội bộ, sai sót xảy ra vào ngày 2019/XNUMX/XNUMX, công ty sẽ báo cáo chi tiết hơn sau.

CẬP NHẬT: dịch vụ xác minh chứng chỉ trực tuyến có thể không hoạt động từ các địa chỉ IP của Nga.

Nguồn: www.habr.com

Thêm một lời nhận xét