Форум Сайтостроение Администрирование серверов

В Let's Encrypt нашли баг, отзываются ранее выданные сертификаты TLS/SSL, их нужно обновить до 4 марта 2020 года

LEOnidUKG
На сайте с 25.11.2006
Offline
1723
LEOnidUKG
1272
Джейкоб Хоффман-Эндрюс, инженер Let's Encrypt, 29 февраля 2020 года опубликовал на корпоративной странице центра сертификации информацию о том, что специалисты Let's Encrypt обнаружили ошибку в рабочем коде для CAA (Certification Authority Authorization). Оказывается, что с 25 июля 2019 года их программное обеспечение Boulder, предназначенное для проверки сертификации, некорректно отрабатывало процедуру повторной проверки в процессе выдачи сертификатов.

Если запрос сертификата содержал N доменных имен, которые требовали повторной проверки CAA, то алгоритм Boulder выбирал из этого списка одно доменное имя и проверял его N раз.

Ошибка в работе алгоритма Boulder была исправлена инженерами Let's Encrypt через два часа после обнаружения, но фактически, она была внесена в рабочий коде для CAA двести девятнадцать дней назад. После анализа произошедшего в Let's Encrypt отзывают большое количество выданных за это время сертификатов TLS/SSL из-за этой ошибки в алгоритме Boulder для повторной проверки CAA.

Вся статья тут: https://habr.com/ru/news/t/490866/

Сайт для проверки сертификатов лежит:

https://unboundtest.com/caaproblem.html

Но можно проверить руками:

https://letsencrypt.org/caaproblem/

---------- Добавлено 03.03.2020 в 15:50 ----------

Проверяется в консоле SSH командой:

curl -XPOST -d 'fqdn=letsencrypt.org' https://unboundtest.com/caaproblem/checkhost

Если результат:

The certificate currently available on letsencrypt.org is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem.

То всё нормально, делать ничего не нужно.

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/
lkm
На сайте с 16.03.2012
Offline
346
lkm
#1
LEOnidUKG:
Сайт для проверки сертификатов лежит:
https://unboundtest.com/caaproblem.html

Сайт не лежит, просто находится на одном из серверов, заблокированных РКН в России. Потому что хостится на DigitalOcean.

Заходить из-под VPN.

M2
На сайте с 16.07.2015
Offline
70
Massimo2223
#2
lkm:
Сайт не лежит, просто находится на одном из серверов, заблокированных РКН в России. Потому что хостится на DigitalOcean.
Заходить из-под VPN.

Странно, зашел без VPN)

baas
На сайте с 17.09.2012
Offline
161
baas
#3

У меня несколько серверов в России.

Вот что выдает через курл или браузер.

курл запущен на европейском сервере, у браузера прокся используется.

unknown: dial tcp ип_сайта:443: i/o timeout

Как быть в таком случае?

Может есть какае-та дата у сертификата по которой нужно делать перевыпуск.

На одном из доменов, при проверке такое вышло.

unknown: x509: certificate signed by unknown authority

Что это может быть?

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
A
На сайте с 20.08.2010
Offline
775
awasome
#4
baas:

Что это может быть?

Обновить, глючит его через раз.

baas
На сайте с 17.09.2012
Offline
161
baas
#5
awasome:
Обновить, глючит его через раз.

Обновил сертификаты, дата 3 марта 2020.

Делаю повторную проверку и та же ошибка (unknown: x509: certificate signed by unknown authority). но сертификат на сайте рабочий все нормально.

Сомнительно, логично было бы написать, что с такой-то даты сертификаты считаются бракованными и подлежат пере выпуску.

А тут разработчики как то мутно написали.

A
На сайте с 20.08.2010
Offline
775
awasome
#6
baas:
Обновил сертификаты, дата 3 марта 2020.
Делаю повторную проверку и та же ошибка (unknown: x509: certificate signed by unknown authority). но сертификат на сайте рабочий все нормально.
Сомнительно, логично было бы написать, что с такой-то даты сертификаты считаются бракованными и подлежат пере выпуску.
А тут разработчики как то мутно написали.

Хз, у меня примерно то же выдавал первые 5 минут, потом все ок.

Mik Foxi
На сайте с 02.03.2011
Offline
1076
Mik Foxi
#7

На мыло пришла рассылка от letsencrypt.org, там список всех моих доменов, которым надо обновить.

---------- Добавлено 03.03.2020 в 18:19 ----------

Хотя на все пришедшие домены при чеке показывало что все ОК с сертификатами. Но на всякий случай обновил.

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ + партнерка, до 40$ с продажи.
cloud-shield
На сайте с 25.01.2017
Offline
54
cloud-shield
#8

Странно, что они так поздно сделали email рассылку. Не все успеют обновиться

Защита сайтов от DDoS атак - Cloud-Shield.ru ( https://cloud-shield.ru )
FoxCloud
На сайте с 08.11.2016
Offline
57
FoxCloud
#9
baas:
Обновил сертификаты, дата 3 марта 2020.
Делаю повторную проверку и та же ошибка (unknown: x509: certificate signed by unknown authority). но сертификат на сайте рабочий все нормально.
Сомнительно, логично было бы написать, что с такой-то даты сертификаты считаются бракованными и подлежат пере выпуску.
А тут разработчики как то мутно написали.

Цитата отсюда: https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

Из затронутых сертификатов около 1

миллиона являются дубликатами других затронутых сертификатов в смысле покрытия

того же набора доменных имен.

Из-за того, как работает эта ошибка, чаще всего затрагиваются сертификаты

, которые переиздаются очень часто, поэтому многие затронутые

сертификаты являются дубликатами.

Даже если вы получили электронное письмо, возможно, что затронутые сертификаты были заменены новыми сертификатами, не затронутыми этой ошибкой. (Либо из-за того, что он был выпущен в последние несколько дней с момента его исправления, либо просто из-за несоответствия определенным временным критериям, необходимым для запуска ошибки.) В этом случае нет необходимости обновлять их снова

FoxCloud ( http://ru.foxcloud.net/ )размещение в Европе / Америке / России. Серверы для любого проекта.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий