🥇LetsEncrypt פּלאַנז צו אָפּרופן זיין סערטיפיקאַץ רעכט צו אַ ווייכווארג זשוק

LetsEncrypt, וואָס אָפפערס פריי ססל סערטיפיקאַץ פֿאַר ענקריפּשאַן, איז געצווונגען צו אָפּרופן עטלעכע סערטיפיקאַץ.

די פּראָבלעם איז שייך צו ווייכווארג טעות אין די באָולדער קאָנטראָל ווייכווארג געניצט צו בויען די CA. טיפּיקאַללי, די DNS וועראַפאַקיישאַן פון די CAA רעקאָרד אַקערז סיימאַלטייניאַסלי מיט די באַשטעטיקונג פון פעלד אָונערשיפּ, און רובֿ אבאנענטן באַקומען אַ באַווייַזן גלייך נאָך וועראַפאַקיישאַן, אָבער די ווייכווארג דעוועלאָפּערס האָבן געמאכט עס אַזוי אַז דער רעזולטאַט פון די וועראַפאַקיישאַן איז געהאלטן דורכגעגאנגען אין די ווייַטער 30 טעג . אין עטלעכע פאלן, עס איז מעגלעך צו קאָנטראָלירן רעקאָרדס אַ צווייט מאָל נאָר איידער די באַווייַזן איז ארויס, ספּעציעל די CAA דאַרף זיין שייַעך-וועראַפייד ין 8 שעה איידער די אַרויסגעבן, אַזוי קיין פעלד וועראַפייד איידער דעם פּעריאָד מוזן זיין שייַעך-וועראַפייד.

וואס איז דער טעות? אויב אַ באַווייַזן בעטן כּולל N דאָומיינז וואָס דאַרפן ריפּיטיד CAA וועראַפאַקיישאַן, באָולדער סאַלעקץ איינער פון זיי און וועראַפייז עס N מאל. ווי אַ רעזולטאַט, עס איז געווען מעגלעך צו אַרויסגעבן אַ באַווייַזן אפילו אויב איר שפּעטער (אַרויף צו X + 30 טעג) שטעלן אַ CAA רעקאָרד וואָס פּראָוכיבאַץ די אַרויסגעבן פון אַ LetsEncrypt באַווייַזן.

צו באַשטעטיקן סערטיפיקאַץ, די פירמע האט צוגעגרייט אָנליין געצייַגוואָס וועט ווייַזן אַ דיטיילד באַריכט.

אַוואַנסירטע ניצערס קענען טאָן אַלץ זיך מיט די פאלגענדע קאַמאַנדז:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

ווייַטער איר דאַרפֿן צו קוקן דאָ דיין סיריאַל נומער, און אויב עס איז אויף דער רשימה, עס איז רעקאַמענדיד צו באַנייַען די באַווייַזן (s).

צו דערהייַנטיקן סערטיפיקאַץ, איר קענען נוצן certbot:

certbot renew --force-renewal

דער פּראָבלעם איז געפֿונען געוואָרן אויף 29 פעברואר 2020; צו סאָלווע דעם פּראָבלעם, די אַרויסגעבן פון סערטיפיקאַץ איז סוספּענדעד פון 3:10 UTC צו 5:22 UTC. לויט די אינערלעכע ויספאָרשונג, דער טעות איז געמאכט אויף יולי 25, 2019; די פירמע וועט צושטעלן אַ מער דיטיילד באַריכט שפּעטער.

UPD: די אָנליין באַווייַזן וועראַפאַקיישאַן דינסט קען נישט אַרבעטן פֿון רוסיש IP אַדרעסעס.

מקור: www.habr.com

LetsEncrypt פּלאַנז צו אָפּרופן זיין סערטיפיקאַץ רעכט צו אַ ווייכווארג זשוק

לייגן אַ באַמערקונג באָטל מאַכן ענטפער