Let's Encrypt 将在 3 月 5 日 11:00 前撤销部分证书
lishunan246 · 2020-03-04 09:30:11 +08:00 · 6109 次点击这是一个创建于 1726 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
三百万受2020.02.29 CAA Rechecking Bug影响的证书将被撤销。
Bug 原因:当一个证书有 n 个域名需要检查 caa 记录时,LE 会选择其中一个域名重复检查 n 次。此 bug 导致颁发证书时可能会无视域名的 caa 记录。
第 1 条附言 · 2020-03-04 12:29:51 +08:00
2020.02.29 CAA Rechecking Bug
Let's Encrypt在验证域名控制权的同时也会检查对应的caa记录。域名控制权在被Let's Encrypt验证后的30天内有效。根据Baseline Requirements,域名的caa记录需要在颁发证书前8小时内检查。也就是说部分控制权有效的域名在颁发证书前需要再次检查caa记录。
而再次检查caa记录的代码存在bug,对于n个需要再次检查caa记录的域名,Let's Encrypt仅对其中的一个检查了n次。
如果用户通过了域名控制权和caa记录检查,给一个域名申请了Let's Encrypt证书,那么用户在之后的30天内申请包含这个域名的多域名证书时,其中一些域名的caa记录可能不会生效。
确认bug的时间是2020-02-29 03:08 UTC。03:10 UTC证书颁发暂停。05:22 UTC bug被修复。
初步认为bug引入日期为2019-07-25。
根据Baseline Requirements,Let's Encrypt需要在5天内吊销有问题的证书。截止时间为2020-03-05 03:00 UTC,也就是北京时间3月5号11:00。
 |
1
janxin 2020-03-04 09:44:17 +08:00
赶紧更新一下证书保平安
|
 |
2
mostkia 2020-03-04 09:50:19 +08:00
反正也就 3 个月,不过对于那些机器自动部署的证书,未到期就撤销,机器能识别到并且立即自动补上吗?不行的话估计一些站点得无法访问一段时间了。
|
 |
3
kaixuan1901 2020-03-04 09:51:27 +08:00  5
谢谢提醒。补上检查地址: https://checkhost.unboundtest.com/
|
 |
4
jokechat 2020-03-04 09:54:38 +08:00 2
|
 |
6
iloveucyy19 2020-03-04 10:08:56 +08:00
已检查,无问题,谢谢
|
 |
7
yushuda 2020-03-04 10:16:39 +08:00
受影响...换成阿里云免费证书了
|
 |
8
qingmumu 2020-03-04 10:33:05 +08:00
感谢提醒,检查需要更换,已重新签了
|
 |
10
kasusa 2020-03-04 10:40:53 +08:00
不知道你在说什么。。。但是 stocking 好评赞
|
 |
11
skymei 2020-03-04 10:47:07 +08:00
谢谢提醒...,我的要换了
|
 |
12
momocraft 2020-03-04 10:48:35 +08:00
看 bug 描述 是不是只影響 CAA record 籤發出的多域名證書?
|
 |
13
scys 2020-03-04 10:52:16 +08:00
被命中,重新申请
|
 |
14
Xusually 2020-03-04 10:52:56 +08:00
检查受影响,已经--force 重签并更新
谢谢提醒 |
 |
15
timwei 2020-03-04 11:03:44 +08:00
|
 |
16
chping 2020-03-04 11:35:44 +08:00
各种云都有免费的证书哦
|
 |
17
x66 2020-03-04 11:55:52 +08:00
两个域名检查之后都没问题。
|
 |
18
lc7029 2020-03-04 11:57:28 +08:00
自签证书路过。。。
|
 |
19
lazyyz 2020-03-04 12:04:49 +08:00 via Android
手里域名检查后都没问题
|
 |
20
gam2046 2020-03-04 12:07:57 +08:00
已签发,未到期的证书,如何吊销?难道是直接把中间证书吊销么。
|
 |
21
learningman 2020-03-04 12:31:10 +08:00
@gam2046 OCSP,现在的浏览器都会做这个检查,不做这个检查的确实不受影响
|
 |
22
zeocax 2020-03-04 12:51:16 +08:00 via Android
|
 |
23
geekzu 2020-03-05 05:53:05 +08:00 via Android
@learningman chrome 就不查
|
|
24
geekzu 2020-03-05 05:56:58 +08:00 via Android
楼主表述的 Bug 原因不太准确,LE 这次 Bug 是 CAA 验证有效期错误(本应缓存 8 小时,却错误设置成 30 天),而不是验证范围(漏验证部分域名)那么严重
|
|
25
learningman 2020-03-05 15:25:59 +08:00
@geekzu chrome 是自己弄了个证书透明吧
|
Select Language