Crittografiamo è una C senza scopo di lucro certificato A autorità (a breve CA ) gestito da ISRG (Io internet S titolo R cerca G gruppo). Forniscono certificati SSL/TLS per abilitare https su milioni di domini di siti Web gratuitamente! Sfortunatamente, c'è un bug, noto come bug di ricontrollo CAA , nel loro codice CAA.
Letsencrypt CAA Rechecking Bug
Secondo l'annuncio Let's Encrypt , quando una richiesta di certificato conteneva N nomi di dominio che necessitavano di un nuovo controllo CAA, Boulder (il software CA) sceglierà un nome di dominio e lo verificherà N volte. Ciò significa in pratica che se un abbonato convalidasse un nome di dominio all'ora X e i record CAA per quel dominio all'ora X consentissero l'emissione di Let's Encrypt, quell'abbonato sarebbe in grado di emettere un certificato contenente quel nome di dominio fino a X+30 giorni, anche se in seguito qualcuno ha installato record CAA su quel nome di dominio che vietano l'emissione da parte di Let's Encrypt.
Questo bug è stato confermato dal team Let's Encrypt il 29 febbraio 2020. Vediamo come verificare se il dominio di un sito Web è interessato da Letsencrypt CAA Rechecking Bug.
Come verificare se il tuo dominio è interessato dal bug di ricontrollo CAA di LetsEncrypt
Per verificare se il tuo dominio è stato interessato dal bug di ricontrollo CAA da qualsiasi sistema simile a Unix, esegui:
$ curl -XPOST -d 'fqdn=www.example.com' https://unboundtest.com/caaproblem/checkhost
Sostituisci www.example.com con il tuo nome di dominio.
Se vedi un output come quello di seguito, significa che il tuo dominio non è interessato!
The certificate currently available on www.example.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Se il tuo dominio è interessato, il messaggio sarebbe:
The certificate currently available on www.example.com needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate.
In alternativa, puoi utilizzare il seguente strumento online per verificare se il tuo dominio è interessato da un sistema Windows o da dispositivi mobili.
- https://checkhost.unboundtest.com/
Oppure verifica manualmente che il numero di serie del tuo certificato sia presente nell'elenco dei certificati interessati al seguente link.
- Scarica i numeri di serie dei certificati interessati
$ wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz
Quindi trova il numero di serie del tuo certificato:
$ openssl s_client -connect example.com:443 -showcerts -servername example.com </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Sostituisci esempio.com con il tuo nome di dominio.
Esempio di output:
Serial Number 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Ora controlla che il seriale sia presente nel file scaricato:
$ zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-affected-serials.txt.gz
Puoi anche verificare se la voce del tuo dominio è presente come di seguito.
$ zgrep 'www.example.com' caa-rechecking-incident-affected-serials.txt.gz
Se non vedi nulla, sei a posto andare! Il tuo dominio non è interessato.
Se vedi uno o più nomi di dominio e numeri di serie del certificato nell'output, DEVI RINNOVARE il prima possibile.
Quanti certificati sono interessati?
Come affermato nel forum di supporto di Let's Encrypt , 2,6% , ovvero 3.048.289 i certificati attualmente validi sono interessati, su ~116 milioni certificati Let's Encrypt complessivamente attivi. Let's Encrypt ha pianificato di revocare i certificati interessati da questo bug alle 20:00 UTC del 04-03-2020 (15:00 US EST). Gli abbonati interessati sono già stati avvisati tramite e-mail. Se il tuo dominio è interessato, probabilmente avresti ricevuto un'e-mail con oggetto - AZIONE RICHIESTA:rinnova questi certificati Let's Encrypt entro il 4 marzo . Se hai ricevuto questa mail, rinnova i certificati il prima possibile.
Rinnova i certificati interessati
Se il tuo dominio è interessato dal bug di ricontrollo CAA, devi rinnovarlo. In caso contrario, i visitatori del tuo sito Web vedranno avvisi di sicurezza fino al rinnovo del certificato.
Se stai utilizzando Certbot , il comando per rinnovare è:
certbot renew --force-renewal
Se non riesci a risolvere questo problema da solo, contatta il forum di supporto Let's Encrypt o chiedi aiuto al tuo provider di hosting per risolvere il problema il prima possibile.
Aggiornamento:
Let's Encrypt posticipa la revoca del certificato. Maggiori dettagli nel seguente link.
- https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3