提供免费 SSL 证书进行加密的 LetsEncrypt 被迫撤销了一些证书。
问题与 在用于构建 CA 的 Boulder 控制软件中。 通常,CAA 记录的 DNS 验证与域名所有权的确认同时进行,大多数订阅者在验证后立即收到证书,但软件开发人员已做到这一点,以便验证结果在未来 30 天内被视为通过。 在某些情况下,可以在证书颁发前再次检查记录,特别是CAA需要在颁发前8小时内重新验证,因此在此期间之前验证的任何域名都必须重新验证。
有什么错误吗? 如果一个证书请求包含 N 个需要重复 CAA 验证的域,Boulder 会选择其中一个并验证 N 次。 因此,即使您稍后(最多 X+30 天)设置了禁止颁发 LetsEncrypt 证书的 CAA 记录,也可以颁发证书。
为了验证证书,公司准备了 这将显示详细的报告。
高级用户可以使用以下命令自行完成所有操作:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы接下来你需要看一下 您的序列号,如果它在列表中,建议更新证书。
要更新证书,您可以使用 certbot:
certbot renew --force-renewal该问题于29年2020月3日发现;为了解决该问题,从UTC时间10:5到22:25暂停了证书的颁发。 根据内部调查,该错误发生于2019年XNUMX月XNUMX日;公司稍后将提供更详细的报告。
UPD:在线证书验证服务可能无法在俄罗斯 IP 地址上运行。
来源: habr.com