V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lishunan246
V2EX  ›  程序员

Let's Encrypt 将在 3 月 5 日 11:00 前撤销部分证书

  •  6
     
  •   lishunan246 · 2020-03-04 09:30:11 +08:00 · 6091 次点击
    这是一个创建于 1707 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

    三百万受2020.02.29 CAA Rechecking Bug影响的证书将被撤销。

    Bug 原因:当一个证书有 n 个域名需要检查 caa 记录时,LE 会选择其中一个域名重复检查 n 次。此 bug 导致颁发证书时可能会无视域名的 caa 记录。

    第 1 条附言  ·  2020-03-04 12:29:51 +08:00

    2020.02.29 CAA Rechecking Bug

    Let's Encrypt在验证域名控制权的同时也会检查对应的caa记录。域名控制权在被Let's Encrypt验证后的30天内有效。根据Baseline Requirements,域名的caa记录需要在颁发证书前8小时内检查。也就是说部分控制权有效的域名在颁发证书前需要再次检查caa记录。

    而再次检查caa记录的代码存在bug,对于n个需要再次检查caa记录的域名,Let's Encrypt仅对其中的一个检查了n次。

    如果用户通过了域名控制权和caa记录检查,给一个域名申请了Let's Encrypt证书,那么用户在之后的30天内申请包含这个域名的多域名证书时,其中一些域名的caa记录可能不会生效。

    确认bug的时间是2020-02-29 03:08 UTC。03:10 UTC证书颁发暂停。05:22 UTC bug被修复。

    初步认为bug引入日期为2019-07-25。

    根据Baseline Requirements,Let's Encrypt需要在5天内吊销有问题的证书。截止时间为2020-03-05 03:00 UTC,也就是北京时间3月5号11:00。

    25 条回复    2020-03-05 15:25:59 +08:00
    janxin
        1
    janxin  
       2020-03-04 09:44:17 +08:00
    赶紧更新一下证书保平安
    mostkia
        2
    mostkia  
       2020-03-04 09:50:19 +08:00
    反正也就 3 个月,不过对于那些机器自动部署的证书,未到期就撤销,机器能识别到并且立即自动补上吗?不行的话估计一些站点得无法访问一段时间了。
    kaixuan1901
        3
    kaixuan1901  
       2020-03-04 09:51:27 +08:00   ❤️ 5
    谢谢提醒。补上检查地址: https://checkhost.unboundtest.com/
    jokechat
        4
    jokechat  
       2020-03-04 09:54:38 +08:00   ❤️ 2
    GDC
        5
    GDC  
       2020-03-04 10:08:16 +08:00 via iPhone
    @mostkia 不会自动识别,基本都是定时任务跑的
    iloveucyy19
        6
    iloveucyy19  
       2020-03-04 10:08:56 +08:00
    已检查,无问题,谢谢
    yushuda
        7
    yushuda  
       2020-03-04 10:16:39 +08:00
    受影响...换成阿里云免费证书了
    qingmumu
        8
    qingmumu  
       2020-03-04 10:33:05 +08:00
    感谢提醒,检查需要更换,已重新签了
    vlitter
        9
    vlitter  
       2020-03-04 10:35:28 +08:00 via Android
    @jokechat 谢谢
    kasusa
        10
    kasusa  
       2020-03-04 10:40:53 +08:00
    不知道你在说什么。。。但是 stocking 好评赞
    skymei
        11
    skymei  
       2020-03-04 10:47:07 +08:00
    谢谢提醒...,我的要换了
    momocraft
        12
    momocraft  
       2020-03-04 10:48:35 +08:00
    看 bug 描述 是不是只影響 CAA record 籤發出的多域名證書?
    scys
        13
    scys  
       2020-03-04 10:52:16 +08:00
    被命中,重新申请
    Xusually
        14
    Xusually  
       2020-03-04 10:52:56 +08:00
    检查受影响,已经--force 重签并更新
    谢谢提醒
    timwei
        15
    timwei  
       2020-03-04 11:03:44 +08:00
    ```
    serial 03c231ad3f9d99a5086bbfd3027912dbc141 50381456 74db2b554c54e5774ce576ad3fa1489a70a81683f9b87a1f8b03fc566d9fb40a names: [*.dev.v2ex.co *.v2ex.co *.v2ex.com v2ex.co v2ex.com] missing CAA checking results for *.v2ex.com at 2020-02-09 19:57:32.092245047 +0000 UTC
    ```
    chping
        16
    chping  
       2020-03-04 11:35:44 +08:00
    各种云都有免费的证书哦
    x66
        17
    x66  
       2020-03-04 11:55:52 +08:00
    两个域名检查之后都没问题。
    lc7029
        18
    lc7029  
       2020-03-04 11:57:28 +08:00
    自签证书路过。。。
    lazyyz
        19
    lazyyz  
       2020-03-04 12:04:49 +08:00 via Android
    手里域名检查后都没问题
    gam2046
        20
    gam2046  
       2020-03-04 12:07:57 +08:00
    已签发,未到期的证书,如何吊销?难道是直接把中间证书吊销么。
    learningman
        21
    learningman  
       2020-03-04 12:31:10 +08:00
    @gam2046 OCSP,现在的浏览器都会做这个检查,不做这个检查的确实不受影响
    zeocax
        22
    zeocax  
       2020-03-04 12:51:16 +08:00 via Android
    geekzu
        23
    geekzu  
       2020-03-05 05:53:05 +08:00 via Android
    @learningman chrome 就不查
    geekzu
        24
    geekzu  
       2020-03-05 05:56:58 +08:00 via Android
    楼主表述的 Bug 原因不太准确,LE 这次 Bug 是 CAA 验证有效期错误(本应缓存 8 小时,却错误设置成 30 天),而不是验证范围(漏验证部分域名)那么严重
    learningman
        25
    learningman  
       2020-03-05 15:25:59 +08:00
    @geekzu chrome 是自己弄了个证书透明吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3409 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 11:38 · PVG 19:38 · LAX 03:38 · JFK 06:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.