提供免費 SSL 憑證進行加密的 LetsEncrypt 被迫撤銷了一些憑證。
問題與 在用於建構 CA 的 Boulder 控制軟體中。通常,CAA 記錄的 DNS 驗證與網域名稱所有權的確認同時進行,大多數訂閱者在驗證後立即收到證書,但軟體開發人員已做到這一點,以便驗證結果在未來 30 天內被視為通過。在某些情況下,可以在證書頒發前再次檢查記錄,特別是CAA需要在頒發前8小時內重新驗證,因此在此期間之前驗證的任何網域都必須重新驗證。
有什麼錯誤嗎?如果憑證要求包含 N 個需要重複 CAA 驗證的網域,Boulder 會選擇其中一個並驗證 N 次。因此,即使您稍後(最多 X+30 天)設定了禁止頒發 LetsEncrypt 憑證的 CAA 記錄,也可以頒發證書。
為了驗證證書,公司準備了 這將顯示詳細的報告。
進階使用者可以使用以下命令自行完成所有操作:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы接下來你需要看一下 您的序號,如果它在清單中,建議更新憑證。
若要更新證書,您可以使用 certbot:
certbot renew --force-renewal該問題於29年2020月3日發現;為了解決該問題,從UTC時間10:5到22:25暫停了證書的頒發。根據內部調查,該錯誤發生於2019年XNUMX月XNUMX日;公司稍後將提供更詳細的報告。
UPD:線上證書驗證服務可能無法在俄羅斯 IP 位址上運作。
來源: www.habr.com