提供免費 SSL 憑證進行加密的 LetsEncrypt 被迫撤銷了一些憑證。
問題與
有什麼錯誤嗎?如果憑證要求包含 N 個需要重複 CAA 驗證的網域,Boulder 會選擇其中一個並驗證 N 次。因此,即使您稍後(最多 X+30 天)設定了禁止頒發 LetsEncrypt 憑證的 CAA 記錄,也可以頒發證書。
為了驗證證書,公司準備了
進階使用者可以使用以下命令自行完成所有操作:
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы
接下來你需要看一下
若要更新證書,您可以使用 certbot:
certbot renew --force-renewal
該問題於29年2020月3日發現;為了解決該問題,從UTC時間10:5到22:25暫停了證書的頒發。根據內部調查,該錯誤發生於2019年XNUMX月XNUMX日;公司稍後將提供更詳細的報告。
UPD:線上證書驗證服務可能無法在俄羅斯 IP 位址上運作。
來源: www.habr.com