Let’sEncrypt CCA hiba – 2020. március 4-én sokan szívni fognak vele

Egy 2020. február 29-én felfedezett hiba miatt, a 2020. március 1. előtt kiadott Let’s Encrypt tanúsítványok egy jelentős részét meg kell újítani 2020. március 4-ig.

A Let’S Encrypt mérnökei 2020. február 29-én fedezték fel azt a CCA (Certification Authority Authorization, Hitelesítő Hatósági Engedélyezés) hibát, amely lehetővé teszi, hogy akkor is sikeresen létre lehetett hozni egy tanúsítványt a Let’s Encrypt segítségével, ha azt a domain DNS CCA bejegyzése megtiltja. A hibát 2 órán belül elhárították, de egy bizonyos:

A hibát okozó certifikáció Let’s Encrypt felöli hitelesítése 2020. március 4-én visszavonásra kerül, ezért előfordulhat, hogy az adott SSL tanúsítványt használó oldal “nem biztonságosként” kerül megjelölésre a böngészőkben és nem lehet “hagyományos módon” elérni azokat.

A megújításról értesítést kapnak az érintett SSL tanúsítvány tulajdonosai, de kétféle módon is ellenőrizhetjük ezen felül, hogy érintettek-e a domain-eink:

1, ellenőrizhetjük az alábbi paranccsal (a “letsencrypt.org” helyére kerül az ellenőrizni kívánt domain neve)

curl -XPOST -d 'fqdn=letsencrypt.org' https://checkhost.unboundtest.com/checkhost

Így néz ki egy érintett (smartopert.com) és egy nem érintett (diysmarthome.hu) domain ellenőrzése:

2, A Let’s Encrypt kiadott egy listát, amiben rákereshetünk az “account ID” alapján a domain-einkre.

Ha nagyobb mennyiségű somain-t szeretnénk ellenőrizni, akkor már létezik rá eszköz, amit a Let’s Encrypt ajánl.

Ha érintettek vagyunk, akkor az alábbi paranccsal kényszeríthetjük a frissítésre a certbot-ot(figyeljünk a parancs kiadásakor a megfelelő felhasználói jogosultságokra):

certbot renew --force-renewal

Ezzel visszaállíthatjuk a rendet az oldalaink felett

Kövess minket!