<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-cite-prefix">Ahoj,</div>
    <div class="moz-cite-prefix"><br>
    </div>
    <div class="moz-cite-prefix">týká se to certifikátů, které jsou
      vystaveny na více domén (ne takových, které mohou být pokryty
      jedním CAA záznamem). Typicky se jedná o více domén 2. úrovně nebo
      v různých TLD. Certifikátů pro domény se subdoménami (např.
      mojedomena.cz a <a class="moz-txt-link-abbreviated" href="http://www.mojedomena.cz">www.mojedomena.cz</a>) se problém netýká a proto je
      není potřeba obnovovat.</div>
    <div class="moz-cite-prefix"><br>
    </div>
    <div class="moz-cite-prefix">Lukáš Jelínek<br>
    </div>
    <div class="moz-cite-prefix"><br>
    </div>
    <blockquote type="cite"
      cite="mid:4beeb89c-9f34-2f82-430d-baf90a999f83@comlinks.cz">
      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
      <span style="font-family: helvetica,arial,sans-serif;">Ahoj,<br>
        <br>
        měl jsem 2 zásahy, oba certifikáty byly pro mnoho domén, oba
        HTTP validací a ani jedna doména nemá CAA. Takže se to nejspíš
        může týkat všech. Podle popisu chyby to tak i být musí (na typu
        validace nezáleží a CAA záznam se klidně může během těch 30ti
        dnů objevit i když tam předtím nebyl). <br>
        <br>
        Někomu by se mohl hodit takový jednoduchý a stupidní "two-liner"
        co jsem použil (ušetřil mi dost ťukání, mám tam docela dost
        domén):<br>
        <br>
        <tt># export domains=`certbot certificates | grep Domains | awk
          -F ": " "{print \\\$2}"`; echo $domains</tt><tt><br>
        </tt><tt># for dom in $domains ; do curl -XPOST -d "fqdn=$dom" <a
            class="moz-txt-link-freetext"
            href="https://checkhost.unboundtest.com/checkhost"
            moz-do-not-send="true">https://checkhost.unboundtest.com/checkhost</a>;
          done</tt><tt><br>
        </tt><br>
        Š.<br>
        <br>
        <br>
          </span>
      <div class="moz-cite-prefix">Dne 04. 03. 20 v 1:39 Alexander
        Zubkov napsal(a):<br>
      </div>
      <blockquote type="cite"
cite="mid:CABXn0zdGAkeDboBvK94_0uMdmLDzVt=oNqeJciuYrvRWOe9H6w@mail.gmail.com">
        <meta http-equiv="content-type" content="text/html;
          charset=UTF-8">
        <div dir="auto">
          <div><br>
            <br>
            <div class="gmail_quote">
              <div dir="ltr" class="gmail_attr">On Tue, Mar 3, 2020,
                23:50 Petr Parolek <<a
                  href="mailto:petr.parolek@gmail.com"
                  moz-do-not-send="true">petr.parolek@gmail.com</a>>
                wrote:<br>
              </div>
              <blockquote class="gmail_quote" style="margin:0 0 0
                .8ex;border-left:1px #ccc solid;padding-left:1ex">Ahoj,<br>
                <br>
                jen bych doplnil, pokud jsem správně pochopil z
                internetu. Problém se<br>
                týká pouze certifikátů vydaných pomocí DNS validace a ne
                přes HTTP.<br>
              </blockquote>
            </div>
          </div>
          <div dir="auto"><br>
          </div>
          <div dir="auto">Ne, to není spravně. Problem se týká
            certifikátů pro domény jež mají CAA-záznamy v DNS, a take
            mají několik jmen v certifikátů. To mohou být i certifikáty
            vydané přes HTTP, možna i jen HTTP.</div>
          <div dir="auto"><br>
          </div>
          <div dir="auto">
            <div class="gmail_quote">
              <blockquote class="gmail_quote" style="margin:0 0 0
                .8ex;border-left:1px #ccc solid;padding-left:1ex">
                Ověřil jsem si mou teorii při postupném zadávání domén
                na<br>
                <a href="https://checkhost.unboundtest.com/"
                  rel="noreferrer noreferrer" target="_blank"
                  moz-do-not-send="true">https://checkhost.unboundtest.com/</a>
                a incident se týkal pouze jedné<br>
                domény s wildcard certifikátem, který jsem obnovil před
                chvílí.<br>
                <br>
                <br>
                Petr<br>
                <br>
                út 3. 3. 2020 v 22:48 odesílatel Pavel Snajdr <<a
                  href="mailto:snajpa@snajpa.net" target="_blank"
                  rel="noreferrer" moz-do-not-send="true">snajpa@snajpa.net</a>>
                napsal:<br>
                ><br>
                > Ahojte,<br>
                ><br>
                > TLDR: jelikoz je v seznamu dost domen clenu
                vpsFree, zkontrolujte si,<br>
                > prosim, svoje Let's Encrypt certifikaty, pokud LE
                pouzivate.<br>
                ><br>
                > Petr sepsal detaily pekne prehledne na blog:<br>
                ><br>
                > <a
href="https://blog.vpsfree.cz/lets-encrypt-revokuje-tri-miliony-certifikatu-zkontrolujte-ty-sve/"
                  rel="noreferrer noreferrer" target="_blank"
                  moz-do-not-send="true">https://blog.vpsfree.cz/lets-encrypt-revokuje-tri-miliony-certifikatu-zkontrolujte-ty-sve/</a><br>
                ><br>
                > Diky za pozornost a konec hlaseni ;)<br>
                ><br>
                > /snajpa<br>
                > _______________________________________________<br>
                > Community-list mailing list<br>
                > <a href="mailto:Community-list@lists.vpsfree.cz"
                  target="_blank" rel="noreferrer"
                  moz-do-not-send="true">Community-list@lists.vpsfree.cz</a><br>
                > <a
                  href="http://lists.vpsfree.cz/listinfo/community-list"
                  rel="noreferrer noreferrer" target="_blank"
                  moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a><br>
                _______________________________________________<br>
                Community-list mailing list<br>
                <a href="mailto:Community-list@lists.vpsfree.cz"
                  target="_blank" rel="noreferrer"
                  moz-do-not-send="true">Community-list@lists.vpsfree.cz</a><br>
                <a
                  href="http://lists.vpsfree.cz/listinfo/community-list"
                  rel="noreferrer noreferrer" target="_blank"
                  moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a><br>
              </blockquote>
            </div>
          </div>
        </div>
        <br>
        <fieldset class="mimeAttachmentHeader"></fieldset>
        <pre class="moz-quote-pre" wrap="">_______________________________________________
Community-list mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz" moz-do-not-send="true">Community-list@lists.vpsfree.cz</a>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list" moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a>
</pre>
      </blockquote>
      <br>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <pre class="moz-quote-pre" wrap="">_______________________________________________
Community-list mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a>
</pre>
    </blockquote>
    <p><br>
    </p>
  </body>
</html>