В Let's Encrypt нашли баг, отзываются ранее выданные сертификаты TLS/SSL, их нужно обновить до 4 марта 2020 года

LEOnidUKG
На сайте с 25.11.2006
Offline
1591
1132
Джейкоб Хоффман-Эндрюс, инженер Let's Encrypt, 29 февраля 2020 года опубликовал на корпоративной странице центра сертификации информацию о том, что специалисты Let's Encrypt обнаружили ошибку в рабочем коде для CAA (Certification Authority Authorization). Оказывается, что с 25 июля 2019 года их программное обеспечение Boulder, предназначенное для проверки сертификации, некорректно отрабатывало процедуру повторной проверки в процессе выдачи сертификатов.

Если запрос сертификата содержал N доменных имен, которые требовали повторной проверки CAA, то алгоритм Boulder выбирал из этого списка одно доменное имя и проверял его N раз.

Ошибка в работе алгоритма Boulder была исправлена инженерами Let's Encrypt через два часа после обнаружения, но фактически, она была внесена в рабочий коде для CAA двести девятнадцать дней назад. После анализа произошедшего в Let's Encrypt отзывают большое количество выданных за это время сертификатов TLS/SSL из-за этой ошибки в алгоритме Boulder для повторной проверки CAA.

Вся статья тут: https://habr.com/ru/news/t/490866/

Сайт для проверки сертификатов лежит:

https://unboundtest.com/caaproblem.html

Но можно проверить руками:

https://letsencrypt.org/caaproblem/

---------- Добавлено 03.03.2020 в 15:50 ----------

Проверяется в консоле SSH командой:

curl -XPOST -d 'fqdn=letsencrypt.org' https://unboundtest.com/caaproblem/checkhost

Если результат:

The certificate currently available on letsencrypt.org is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem.

То всё нормально, делать ничего не нужно.

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
L
На сайте с 16.03.2012
Offline
296
lkm
#1
LEOnidUKG:
Сайт для проверки сертификатов лежит:
https://unboundtest.com/caaproblem.html

Сайт не лежит, просто находится на одном из серверов, заблокированных РКН в России. Потому что хостится на DigitalOcean.

Заходить из-под VPN.

M2
На сайте с 16.07.2015
Offline
42
#2
lkm:
Сайт не лежит, просто находится на одном из серверов, заблокированных РКН в России. Потому что хостится на DigitalOcean.
Заходить из-под VPN.

Странно, зашел без VPN)

baas
На сайте с 17.09.2012
Offline
131
#3

У меня несколько серверов в России.

Вот что выдает через курл или браузер.

курл запущен на европейском сервере, у браузера прокся используется.

unknown: dial tcp ип_сайта:443: i/o timeout

Как быть в таком случае?

Может есть какае-та дата у сертификата по которой нужно делать перевыпуск.

На одном из доменов, при проверке такое вышло.

unknown: x509: certificate signed by unknown authority

Что это может быть?

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
A
На сайте с 20.08.2010
Offline
775
#4
baas:

Что это может быть?

Обновить, глючит его через раз.

baas
На сайте с 17.09.2012
Offline
131
#5
awasome:
Обновить, глючит его через раз.

Обновил сертификаты, дата 3 марта 2020.

Делаю повторную проверку и та же ошибка (unknown: x509: certificate signed by unknown authority). но сертификат на сайте рабочий все нормально.

Сомнительно, логично было бы написать, что с такой-то даты сертификаты считаются бракованными и подлежат пере выпуску.

А тут разработчики как то мутно написали.

A
На сайте с 20.08.2010
Offline
775
#6
baas:
Обновил сертификаты, дата 3 марта 2020.
Делаю повторную проверку и та же ошибка (unknown: x509: certificate signed by unknown authority). но сертификат на сайте рабочий все нормально.
Сомнительно, логично было бы написать, что с такой-то даты сертификаты считаются бракованными и подлежат пере выпуску.
А тут разработчики как то мутно написали.

Хз, у меня примерно то же выдавал первые 5 минут, потом все ок.

Mik Foxi
На сайте с 02.03.2011
Offline
930
#7

На мыло пришла рассылка от letsencrypt.org, там список всех моих доменов, которым надо обновить.

---------- Добавлено 03.03.2020 в 18:19 ----------

Хотя на все пришедшие домены при чеке показывало что все ОК с сертификатами. Но на всякий случай обновил.

Антибот защита сайта от накрутки поведенческих, от спама, взлома и поиска xss, от хит и клик ботов, от парсинга и кражи контента, снижение нагрузки на сервер - https://antibot.cloud/ Вам все еще конкуренты генерят отказы?
cloud-shield
На сайте с 25.01.2017
Offline
46
#8

Странно, что они так поздно сделали email рассылку. Не все успеют обновиться

Защита сайтов, vps и дедиков от DDoS атак - Cloud-Shield.ru (https://cloud-shield.ru)
FoxCloud
На сайте с 08.11.2016
Offline
63
#9
baas:
Обновил сертификаты, дата 3 марта 2020.
Делаю повторную проверку и та же ошибка (unknown: x509: certificate signed by unknown authority). но сертификат на сайте рабочий все нормально.
Сомнительно, логично было бы написать, что с такой-то даты сертификаты считаются бракованными и подлежат пере выпуску.
А тут разработчики как то мутно написали.

Цитата отсюда: https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

Из затронутых сертификатов около 1

миллиона являются дубликатами других затронутых сертификатов в смысле покрытия

того же набора доменных имен.

Из-за того, как работает эта ошибка, чаще всего затрагиваются сертификаты

, которые переиздаются очень часто, поэтому многие затронутые

сертификаты являются дубликатами.

Даже если вы получили электронное письмо, возможно, что затронутые сертификаты были заменены новыми сертификатами, не затронутыми этой ошибкой. (Либо из-за того, что он был выпущен в последние несколько дней с момента его исправления, либо просто из-за несоответствия определенным временным критериям, необходимым для запуска ошибки.) В этом случае нет необходимости обновлять их снова

FoxCloud (http://ru.foxcloud.net/)размещение в Европе / Америке / России. Услуги для любого проекта.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий