让我们加密 是一个非营利组织 C认证 一个权威(不久 那) 由……运营 伊斯兰国集团 (一世互联网 小号安全性 R研究 G团)。 他们提供 SSL/TLS 证书以在数百万个网站的域上免费启用 https! 不幸的是,有一个错误,称为 CAA 重新检查错误, 在他们的 CAA 代码中。
内容
Letsencrypt CAA 重新检查错误
根据 让我们加密公告,当一个证书请求包含 N 个需要 CAA 重新检查的域名时, 博尔德 (CA 软件)会选择一个域名并检查 N 次。 这在实践中意味着,如果订阅者在时间 X 验证了一个域名,并且在时间 X 时该域的 CAA 记录允许 Let’s Encrypt 发布,那么该订阅者将能够在 X+30 之前发布包含该域名的证书天,即使后来有人在该域名上安装了禁止 Let’s Encrypt 发行的 CAA 记录。
这个错误 Let’s Encrypt 团队于 2020 年 2 月 29 日确认。让我们看看如何检查网站的域是否受到 Letsencrypt CAA Rechecking Bug 的影响。
如何检查您的域是否受到 LetsEncrypt CAA 重新检查错误的影响
要检查您的域是否受到来自任何类 Unix 系统的 CAA 重新检查错误的影响,请运行:
$ curl -XPOST -d 'fqdn=www.example.com' https://unboundtest.com/caaproblem/checkhost
代替 www.example.com 用自己的域名。
如果您看到如下输出,则表示您的域没有受到影响!
The certificate currently available on www.example.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
如果您的域受到影响,消息将类似于:
The certificate currently available on www.example.com needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate.
或者,您可以使用以下在线工具检查您的域是否受到 Windows 系统或移动设备的影响。
- https://checkhost.unboundtest.com/
或者,手动检查您的证书序列号是否存在于以下链接的受影响证书列表中。
- 下载受影响的证书序列
$ wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz
接下来找到您的证书的序列号:
$ openssl s_client -connect example.com:443 -showcerts -servername example.com </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
代替 例子.com 与您的域名。
样本输出:
Serial Number 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
现在检查下载的文件中是否存在序列号:
$ zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-affected-serials.txt.gz
您还可以检查您的域条目是否存在,如下所示。
$ zgrep 'www.example.com' caa-rechecking-incident-affected-serials.txt.gz
如果你 什么都看不见,你很好 去! 您的域不受影响。
如果您在输出中看到一个或多个域名和证书序列,您必须尽快更新。
有多少证书受到影响?
如 Let’s Encrypt 支持中所述 论坛, 2.6%, IE 3,048,289 当前有效的证书受到影响,其中 约 1.16 亿 整体活跃的 Let’s Encrypt 证书。 Let’s Encrypt 计划在 2020 年 3 月 4 日 20:00 UTC(美国东部标准时间下午 3:00)撤销受此错误影响的证书。 受影响的订阅者已通过电子邮件收到通知。 如果您的域受到影响,您可能会收到一封带有主题行的电子邮件 – 需要采取的行动:在 3 月 4 日之前更新这些 Let’s Encrypt 证书. 如果您收到此邮件,请尽快更新证书。
续订受影响的证书
如果您的域受到 CAA 重新检查错误的影响,您必须对其进行更新。 否则,在您续订证书之前,您的网站访问者将看到安全警告。
如果您正在使用 证书机器人,更新的命令是:
certbot renew --force-renewal
如果您无法自行解决此问题,请联系 Let’s Encrypt 支持论坛或向您的托管服务提供商寻求帮助以尽快解决此问题。
更新:
Let’s Encrypt 推迟证书吊销。 以下链接中的更多详细信息。
- https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3
感谢您的光临!
帮助我们帮助您:
- 订阅我们的电子邮件通讯: 立即注册
- 支持 OSTechNix: 通过贝宝捐款
- 下载免费的电子书和视频: TradePub 上的 OSTechNix
- 联系我们: 红迪网 | Facebook | 推特 | 领英 | RSS订阅
祝你有美好的一天!!
CAC证书颁发机构互联网安全研究组ISRGletsencryptLetsencrypt CAA重新检查BugTLS/SSL