提供免费 SSL 证书进行加密的 LetsEncrypt 被迫撤销了一些证书。
问题与
有什么错误吗? 如果一个证书请求包含 N 个需要重复 CAA 验证的域,Boulder 会选择其中一个并验证 N 次。 因此,即使您稍后(最多 X+30 天)设置了禁止颁发 LetsEncrypt 证书的 CAA 记录,也可以颁发证书。
为了验证证书,公司准备了
高级用户可以使用以下命令自行完成所有操作:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
接下来你需要看一下
要更新证书,您可以使用 certbot:
certbot renew --force-renewal
该问题于29年2020月3日发现;为了解决该问题,从UTC时间10:5到22:25暂停了证书的颁发。 根据内部调查,该错误发生于2019年XNUMX月XNUMX日;公司稍后将提供更详细的报告。
UPD:在线证书验证服务可能无法在俄罗斯 IP 地址上运行。
来源: habr.com