company_banner

LetsEncrypt планирует отозвать свои сертификаты из-за программной ошибки


    Компания LetsEncrypt, предлагающая к использованию бесплатные сертификаты ssl для шифрования, вынуждена аннулировать некоторые сертификаты.


    Проблема связана с программной ошибкой в управляющем ПО Boulder, применяемом для построения CA. Обычно проверка DNS записи CAA происходит одновременно с подтверждением владения доменом, а большинство подписчиков получают сертификат сразу же после проверки, но разработчики ПО сделали так, что результат проверки считается пройденным еще в течение следующих 30 дней. В некоторых случаях можно проверять записи второй раз, непосредственно перед выдачей сертификата, в частности нужна повторная проверка CAA в течение 8 часов до выдачи, поэтому любой домен, проверенный ранее этого срока, должен проверяться повторно.


    В чем же заключается ошибка? Если запрос на сертификат содержит N доменов, требующих повторной проверки CAA — Boulder выбирал один из них и проверял его N раз. В результате существовала возможность выдачи сертификата, даже если потом (до X+30 дней) установить запись CAA, запрещающую выдачу сертификата LetsEncrypt.


    Для проверки сертификатов компания подготовила онлайн-инструмент, который покажет подробный отчет.


    Продвинутые пользователи могут сделать все самостоятельно, используя следующие команды:


    # проверка https
    openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
    # вариант проверки от @simpleadmin 
    echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
    # проверка почтового сервера, протокол SMTP
    openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
    # проверка почтового сервера, протокол SMTP
    openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
    # проверка почтового сервера, протокол IMAP
    openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
    # проверка почтового сервера, протокол IMAP
    openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
    # в принципе аналогично проверяются и другие сервисы

    Далее надо смотреть здесь свой серийный номер, и если он в списке — рекомендуется обновить сертификат(ы).


    Для обновления сертификатов можно воспользоваться certbot:


    certbot renew --force-renewal

    Проблема была найдена еще 29 февраля 2020 года, для разрешения проблемы был приостановлен выпуск сертификатов с 3:10 UTC до 5:22 UTC. По внутреннему расследованию ошибка была внесена 25 июля 2019 года, более детальный отчет компания предоставит позднее.


    UPD: онлайн сервис проверки сертификатов может не работать с российских ip-адресов.

    Southbridge
    Обеспечиваем стабильную работу highload-проектов

    Комментарии 28

      +2
      Онлайн инструмент не фурычит
      image
        +5
        Плазменный прЕвед от РКН.
        Non-authoritative answer:
        Name: unboundtest.com
        Address: 165.227.59.74

        УНИВЕРСАЛЬНЫЙ СЕРВИС

        проверки ограничения доступа к сайтам и (или) страницам сайтов
        сети «Интернет»

        РЕЗУЛЬТАТ ПОИСКА

        Искомый адрес: 165.227.59.74
        Всего найдено записей: 2

        Заблокирован IP по 15.3 и 15.4
          +2
          Это из-за блокировки цифрового оцеана.
          +1
          Фурычит, но пишет: unknown: dial tcp 95.213.x.y:443: i/o timeout
            0

            У меня такой же ответ, и что он значит в свете новости?

              0

              Что вы находитесь в РФ и нарушаете нулевое правило ведения бизнеса в РФ.

            +10
            За заголовок порку заслужили.
              0
              unboundtest.com/caaproblem.html
              На текущий момент фурычит и проверяет. 2-3 проверки своих сертификатов не обнаружили проблем. Возможно, проблема коснулась небольшого % сертификатов.
                +1
                Меня, с моим недо-сервером это коснулось — утром прилетел e-mail от них о необходимости обновления сертификатов.
                Придётся обновлять, иначе скоро протухнут:
                If you're not able to renew your certificate by March 4, the date we are
                required to revoke these certificates, visitors to your site will see security
                warnings until you do renew the certificate. Your ACME client documentation
                should explain how to renew.
                  0
                  Да, мне тоже прилетело пписьмо с перечнем доменов, ккоторые надо обновить.
                +3
                Продвинутые пользователи могут сделать все самостоятельно, используя следующие команды:

                # проверка https
                openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :

                для этого есть ключ serial
                
                $ openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -noout -serial
                serial=0FD078DD48F1A2BD4D0F2BA96B6038FE
                

                или так удобоваримее
                
                $ echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
                serial=0FD078DD48F1A2BD4D0F2BA96B6038FE
                

                  +1
                  Можно и без всяких инструментов.
                  Зайти на сайт где используется сертификат, нажать на замочек у адресной строки, затем посмотреть сертификат и найти строчку с серийным номером.
                  0
                  Судя по описанию — тем у кого в серте один домен волноваться не нужно.
                  А вот если было несколько и последнее обновление было в период бага — то бежим обновлять сверхурочно.

                  В принципе проверится у них — тоже полезно…

                  А если влом проверятся (и разбираться) — то проще внеурочное обновление серта дернуть, авось они не лягут.
                    0
                    А вот если было несколько и последнее обновление было в период бага — то бежим обновлять сверхурочно.

                    LE же ставит в крон раз в день проверку на обновление сертификатов
                    0
                    Ни один сайт не зацепило вроде! Недавно все сертификаты обновлял
                      +2

                      За что я люблю LE, так это за своевременное уведомление. Сегодня письмо пришло.

                        +1
                        Спасибо за информацию.
                          0

                          Рад был помочь!

                          –1
                          Проверил LetsEncrypt на своих сайтах у ssllabs.com, категория упала с А на B, да уж)
                          А на unboundtest так попасть и не могу
                          image
                            +3

                            LetsEncrypt тут не при чём. Пора обновить конфиг (https://ssl-config.mozilla.org/) до Intermediate (отказаться от TLSv1 и TLSv1.1), если хотите A+.

                              0
                              Да в этом и дело, просто до этого было A+ и подумал может связано с этой ситуацией.
                                0

                                Есть риск что более старые девайсы не откроют сайт

                                0

                                Проверь в конфиге
                                ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
                                у меня на части сайтов тоже слетело

                                  0
                                  Я написал хостеру
                                  Вот ответ его
                                  «Это происходит из-за поддержки нами устаревших версий TLS. Скоро мы откажемся от этой поддержки, но пока это находится в стадии тестирования, чтобы не навредить пользователям.»
                                  так что править конфиг бесполезно думаю)
                                    0

                                    У меня VPS и я сам себе хостер, если у вас шаред хостинг то тогда да, но думаю там быстро все исправят :)

                                0
                                Не знаю, связано ли моя проблема с этой ошибкой, что вряд ли, но последние месяца 2-3 не могу получить сертификаты для сервера разработки (домены и поддомены чисто для демонстрации сайтов). Но меня это не парит, так как на данный момент там нет активных сайтов, но не приятно что на сам домен + пара других доменов, что на хостинге, сертификаты не выдаются. Просто висит без конца «Процесс выдачи сертификата начат» и всё. Работаю через http.
                                  +1
                                  У вас лимит запросов не превышен? клац
                                  Из-за какой-нить ошибки автоматизации легко превысить 60/час.
                                  The Certificates per Registered Domain limit is 30,000 per week.
                                  The Duplicate Certificate limit is 30,000 per week.
                                  The Failed Validations limit is 60 per hour.
                                  The Accounts per IP Address limit is 50 accounts per 3 hour period per IP.
                                  For ACME v2, the New Orders limit is 1,500 new orders per 3 hour period per account.
                                  0

                                  А вот так выглядит подтверждение наличия проблемы:
                                  The certificate currently available on ####.ru needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is ####. See your ACME client documentation for instructions on how to renew a certificate.

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое