Lass uns verschlüsseln ist eine gemeinnützige C Bescheinigung A Behörde (kurz CA ) betrieben von ISRG (Ich Internet S Sicherheit R Suche nach G Gruppe). Sie stellen SSL/TLS-Zertifikate bereit, um https auf Millionen von Websites kostenlos zu aktivieren! Leider gibt es einen Fehler, bekannt als CAA rechecking bug , in ihrem CAA-Code.
Letsencrypt CAA Rechecking Bug
Laut der Let's Encrypt-Ankündigung , als eine Zertifikatsanforderung N Domänennamen enthielt, die einer CAA-Neuprüfung bedurften, Boulder (die CA-Software) würde einen Domänennamen auswählen und ihn N-mal überprüfen. In der Praxis bedeutet dies, dass, wenn ein Abonnent einen Domänennamen zum Zeitpunkt X validiert hat und die CAA-Einträge für diese Domäne zum Zeitpunkt X die Ausstellung von Let’s Encrypt erlaubten, dieser Abonnent in der Lage wäre, ein Zertifikat mit diesem Domänennamen bis X+30 auszustellen Tagen, selbst wenn jemand später CAA-Datensätze auf diesem Domainnamen installiert hat, die die Ausstellung durch Let's Encrypt verbieten.
Dieser Fehler wurde am 29. Februar 2020 vom Team von Let’s Encrypt bestätigt. Sehen wir uns an, wie überprüft werden kann, ob die Domain einer Website von Letsencrypt CAA Rechecking Bug betroffen ist.
So überprüfen Sie, ob Ihre Domäne von LetsEncrypt CAA Rechecking Bug betroffen ist
Um zu überprüfen, ob Ihre Domäne von einem CAA-Neuprüfungsfehler von Unix-ähnlichen Systemen betroffen ist, führen Sie Folgendes aus:
$ curl -XPOST -d 'fqdn=www.example.com' https://unboundtest.com/caaproblem/checkhost
Ersetzen Sie www.example.com mit Ihrem eigenen Domainnamen.
Wenn Sie eine Ausgabe wie unten sehen, bedeutet dies, dass Ihre Domain nicht betroffen ist!
The certificate currently available on www.example.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Wenn Ihre Domain betroffen ist, lautet die Nachricht wie folgt:
The certificate currently available on www.example.com needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate.
Alternativ können Sie das folgende Online-Tool verwenden, um zu prüfen, ob Ihre Domain von einem Windows-System oder Mobilgeräten betroffen ist.
- https://checkhost.unboundtest.com/
Oder überprüfen Sie manuell, ob die Seriennummer Ihres Zertifikats in der Liste der betroffenen Zertifikate unter folgendem Link vorhanden ist.
- Laden Sie betroffene Zertifikatsserien herunter
$ wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz
Suchen Sie als Nächstes die Seriennummer Ihres Zertifikats:
$ openssl s_client -connect example.com:443 -showcerts -servername example.com </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Ersetzen Sie example.com mit Ihrem Domainnamen.
Beispielausgabe:
Serial Number 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Prüfen Sie nun, ob die Seriennummer in der heruntergeladenen Datei vorhanden ist:
$ zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-affected-serials.txt.gz
Sie können auch überprüfen, ob Ihr Domain-Eintrag vorhanden ist, wie unten.
$ zgrep 'www.example.com' caa-rechecking-incident-affected-serials.txt.gz
Wenn Sie nichts sehen, sind Sie gut gehen! Ihre Domain ist nicht betroffen.
Wenn Sie einen oder mehrere Domänennamen und Zertifikatsserien in der Ausgabe sehen, MÜSSEN Sie SO BALD WIE MÖGLICH ERNEUERN.
Wie viele Zertifikate sind betroffen?
Wie im Support-Forum von Let's Encrypt angegeben , 2,6 % , also 3.048.289 aktuell gültige Zertifikate sind betroffen, von ~116 Millionen insgesamt aktive Let’s Encrypt Zertifikate. Let's Encrypt hat geplant, die von diesem Fehler betroffenen Zertifikate am 04.03.2020 20:00 UTC (15:00 Uhr US EST) zu widerrufen. Die betroffenen Abonnenten wurden bereits per E-Mail benachrichtigt. Wenn Ihre Domain betroffen ist, hätten Sie wahrscheinlich eine E-Mail mit der Betreffzeile erhalten:AKTION ERFORDERLICH:Erneuern Sie diese Let's Encrypt-Zertifikate bis zum 4. März . Wenn Sie diese E-Mail erhalten haben, erneuern Sie die Zertifikate bitte so schnell wie möglich.
Betroffene Zertifikate erneuern
Wenn Ihre Domain vom CAA-Rechecking-Bug betroffen ist, müssen Sie sie erneuern. Andernfalls sehen Ihre Website-Besucher Sicherheitswarnungen, bis Sie das Zertifikat erneuern.
Wenn Sie Certbot verwenden , lautet der Befehl zum Erneuern:
certbot renew --force-renewal
Wenn Sie dieses Problem nicht selbst beheben können, wenden Sie sich an das Support-Forum von Let's Encrypt oder bitten Sie Ihren Hosting-Provider um Hilfe, um dieses Problem so schnell wie möglich zu beheben.
Aktualisierung:
Let’s Encrypt verschiebt den Zertifikatswiderruf. Weitere Details unter folgendem Link.
- https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3