Поиск по сайту:

Проверьте, не затронут ли ваш домен ошибка перепроверки Letsencrypt CAA

Let's Encrypt — это некоммерческий сертификат Аорган (сокращенно CA), управляемый ISRG (Интернет-безопасностьбезопасность исследованияисследовательская группа). Они предоставляют сертификаты SSL/TLS для бесплатной активации https на миллионах доменов веб-сайтов! К сожалению, в их коде CAA есть ошибка, известная как Ошибка перепроверки CAA.

Ошибка перепроверки Letsencrypt CAA

Согласно объявлению Let's Encrypt, когда запрос сертификата содержал N доменных имен, требующих повторной проверки CAA, Boulder (программное обеспечение CA ) выберет одно доменное имя и проверит его N раз. На практике это означает, что если подписчик подтвердил доменное имя в момент X, а записи CAA для этого домена в момент X разрешили выдачу Let's Encrypt, этот подписчик сможет выдать сертификат, содержащий это доменное имя, до X+30. дней, даже если кто-то позже установил на это доменное имя записи CAA, запрещающие выдачу Let's Encrypt.

Эта ошибка подтверждена командой Let's Encrypt 29 февраля 2020 г. Давайте посмотрим, как проверить, затронут ли домен веб-сайта Letsencrypt CAA. Перепроверка ошибки.

Как проверить, затронут ли ваш домен ошибкой перепроверки LetsEncrypt CAA

Чтобы проверить, не затронул ли ваш домен ошибка перепроверки CAA из любой Unix-подобной системы, запустите:

curl -XPOST -d 'fqdn=www.example.com' https://unboundtest.com/caaproblem/checkhost

Замените www.example.com своим собственным доменным именем.

Если вы видите результат, подобный приведенному ниже, это означает, что ваш домен не затронут!

The certificate currently available on www.example.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000

Если ваш домен затронут, сообщение будет выглядеть следующим образом:

The certificate currently available on www.example.com needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate.

Кроме того, вы можете использовать следующий онлайн-инструмент, чтобы проверить, не затронут ли ваш домен систему Windows или мобильные устройства.

  • https://checkhost.unboundtest.com/

Или вручную проверьте, присутствует ли серийный номер вашего сертификата в списке затронутых сертификатов по следующей ссылке.

  • Загрузить серийные номера затронутых сертификатов
wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz

Затем найдите серийный номер вашего сертификата:

openssl s_client -connect example.com:443 -showcerts -servername example.com </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :

Замените example.com своим доменным именем.

Пример вывода:

Serial Number
0fd078dd48f1a2bd4d0f2ba96b6038fe0000

Теперь проверьте наличие серийного номера в загруженном файле:

zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-affected-serials.txt.gz

Вы также можете проверить, присутствует ли запись вашего домена, как показано ниже.

zgrep 'www.example.com' caa-rechecking-incident-affected-serials.txt.gz

Если вы ничего не видите, все готово! Ваш домен не затронут.

Если вы видите в выходных данных одно или несколько доменных имен и серийных номеров сертификатов, НЕОБХОДИМО ОБНОВИТЬ подписку как можно скорее.

Сколько сертификатов затронуто?

Как указано на форуме поддержки Let's Encrypt, затронуты 2,6%, т.е. 3 048 289 действующих на данный момент сертификатов из ~116 миллионов. в целом активны сертификаты Let's Encrypt. Let's Encrypt планирует отозвать сертификаты, на которые повлияла эта ошибка, в 20:00 UTC 04 марта 2020 г. (15:00 по восточному стандартному времени США). Затронутые подписчики уже были уведомлены по электронной почте. Если это затронуло ваш домен, вы, вероятно, получили электронное письмо с темой: ТРЕБУЕТСЯ ДЕЙСТВИЕ: обновите эти сертификаты Let's Encrypt до 4 марта. Если вы получили это письмо, обновите сертификаты как можно скорее.

Продлить затронутые сертификаты

Если на ваш домен влияет ошибка перепроверки CAA, вам необходимо продлить его. В противном случае посетители вашего сайта будут видеть предупреждения безопасности, пока вы не продлите сертификат.

Если вы используете Certbot, команда для обновления:

certbot renew --force-renewal

Если вы не можете решить эту проблему самостоятельно, обратитесь на форум поддержки Let's Encrypt или попросите помощи у вашего хостинг-провайдера, чтобы решить эту проблему как можно скорее.

Обновление:

Let's Encrypt откладывает отзыв сертификата. Более подробная информация по следующей ссылке.

  • https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3

Статьи по данной тематике