Pojďme šifrovat je nezisková C certifikovat A orgán (krátce CA ) provozuje ISRG (Já ninternet S zabezpečení R esearch G skupina). Poskytují certifikáty SSL/TLS pro povolení https na doméně milionů webových stránek zdarma! Bohužel se vyskytla chyba známá jako Chyba opětovné kontroly CAA , v jejich kódu CAA.
Opětovná kontrola chyby Letsencrypt CAA
Podle oznámení Let's Encrypt , když žádost o certifikát obsahovala N názvů domén, které vyžadovaly opětovnou kontrolu CAA, Boulder (software CA) by vybral jeden název domény a Nkrát ho zkontroloval. V praxi to znamená, že pokud předplatitel ověřil doménové jméno v čase X a záznamy CAA pro tuto doménu v čase X umožňovaly vydání Let's Encrypt, tento předplatitel by byl schopen vydávat certifikát obsahující toto doménové jméno do X+30. dní, i když někdo později na tento název domény nainstaloval záznamy CAA, které zakazují vydávání Let's Encrypt.
Tato chyba byla potvrzena týmem Let's Encrypt dne 29. února 2020. Podívejme se, jak zkontrolovat, zda doména webových stránek není ovlivněna chybou Letsencrypt CAA Rechecking Bug.
Jak zkontrolovat, zda je vaše doména ovlivněna chybou opětovné kontroly LetsEncrypt CAA
Chcete-li zkontrolovat, zda vaše doména byla ovlivněna chybou opětovné kontroly CAA ze systémů podobných Unixu, spusťte:
$ curl -XPOST -d 'fqdn=www.example.com' https://unboundtest.com/caaproblem/checkhost
Nahraďte www.example.com s vaším vlastním názvem domény.
Pokud vidíte výstup jako níže, znamená to, že vaše doména není ovlivněna!
The certificate currently available on www.example.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Pokud je ovlivněna vaše doména, zpráva bude vypadat takto:
The certificate currently available on www.example.com needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate.
Případně můžete pomocí následujícího online nástroje zkontrolovat, zda je vaše doména ovlivněna systémem Windows nebo mobilními zařízeními.
- https://checkhost.unboundtest.com/
Nebo ručně zkontrolujte, zda se sériové číslo vašeho certifikátu nachází v seznamu dotčených certifikátů na následujícím odkazu.
- Stáhněte si dotčené seriály certifikátů
$ wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz
Dále vyhledejte sériové číslo svého certifikátu:
$ openssl s_client -connect example.com:443 -showcerts -servername example.com </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Nahraďte example.com s názvem vaší domény.
Ukázkový výstup:
Serial Number 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Nyní zkontrolujte, zda se seriál nachází ve staženém souboru:
$ zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-affected-serials.txt.gz
Můžete také zkontrolovat, zda je uvedena vaše doména, jak je uvedeno níže.
$ zgrep 'www.example.com' caa-rechecking-incident-affected-serials.txt.gz
Pokud nic nevidíte, jste v pořádku jít! Vaše doména není ovlivněna.
Pokud ve výstupu vidíte jeden nebo více názvů domén a seriálů certifikátů, MUSÍTE SE CO NEJDŘÍVE OBNOVIT.
Kolik certifikátů je ovlivněno?
Jak je uvedeno na fóru podpory Let's Encrypt , 2,6 % , tj. 3 048 289 jsou ovlivněny aktuálně platné certifikáty, z ~116 milionů celkově aktivní certifikáty Let’s Encrypt. Let's Encrypt plánuje zrušit certifikáty, které byly touto chybou ovlivněny, na 2020-03-04 20:00 UTC (15:00 US EST). Dotčení odběratelé již byli informováni e-mailem. Pokud je dotčena vaše doména, pravděpodobně jste obdrželi e-mail s předmětem – JE VYŽADOVÁNA AKCE:Obnovte tyto certifikáty Let's Encrypt do 4. března . Pokud jste obdrželi tento e-mail, obnovte si certifikáty co nejdříve.
Obnovit dotčené certifikáty
Pokud je vaše doména ovlivněna chybou při opětovné kontrole CAA, musíte ji obnovit. V opačném případě budou návštěvníci vašeho webu vidět bezpečnostní varování, dokud certifikát neobnovíte.
Pokud používáte Certbot , příkaz k obnovení je:
certbot renew --force-renewal
Pokud tento problém nemůžete vyřešit sami, obraťte se na fórum podpory Let's Encrypt nebo požádejte o pomoc svého poskytovatele hostingu, aby tento problém co nejdříve vyřešil.
Aktualizace:
Let's Encrypt odloží odvolání certifikátu. Více podrobností v následujícím odkazu.
- https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3