<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<div class="moz-cite-prefix">Ahoj,</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix">týká se to certifikátů, které jsou
vystaveny na více domén (ne takových, které mohou být pokryty
jedním CAA záznamem). Typicky se jedná o více domén 2. úrovně nebo
v různých TLD. Certifikátů pro domény se subdoménami (např.
mojedomena.cz a <a class="moz-txt-link-abbreviated" href="http://www.mojedomena.cz">www.mojedomena.cz</a>) se problém netýká a proto je
není potřeba obnovovat.</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix">Lukáš Jelínek<br>
</div>
<div class="moz-cite-prefix"><br>
</div>
<blockquote type="cite"
cite="mid:4beeb89c-9f34-2f82-430d-baf90a999f83@comlinks.cz">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<span style="font-family: helvetica,arial,sans-serif;">Ahoj,<br>
<br>
měl jsem 2 zásahy, oba certifikáty byly pro mnoho domén, oba
HTTP validací a ani jedna doména nemá CAA. Takže se to nejspíš
může týkat všech. Podle popisu chyby to tak i být musí (na typu
validace nezáleží a CAA záznam se klidně může během těch 30ti
dnů objevit i když tam předtím nebyl). <br>
<br>
Někomu by se mohl hodit takový jednoduchý a stupidní "two-liner"
co jsem použil (ušetřil mi dost ťukání, mám tam docela dost
domén):<br>
<br>
<tt># export domains=`certbot certificates | grep Domains | awk
-F ": " "{print \\\$2}"`; echo $domains</tt><tt><br>
</tt><tt># for dom in $domains ; do curl -XPOST -d "fqdn=$dom" <a
class="moz-txt-link-freetext"
href="https://checkhost.unboundtest.com/checkhost"
moz-do-not-send="true">https://checkhost.unboundtest.com/checkhost</a>;
done</tt><tt><br>
</tt><br>
Š.<br>
<br>
<br>
</span>
<div class="moz-cite-prefix">Dne 04. 03. 20 v 1:39 Alexander
Zubkov napsal(a):<br>
</div>
<blockquote type="cite"
cite="mid:CABXn0zdGAkeDboBvK94_0uMdmLDzVt=oNqeJciuYrvRWOe9H6w@mail.gmail.com">
<meta http-equiv="content-type" content="text/html;
charset=UTF-8">
<div dir="auto">
<div><br>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Tue, Mar 3, 2020,
23:50 Petr Parolek <<a
href="mailto:petr.parolek@gmail.com"
moz-do-not-send="true">petr.parolek@gmail.com</a>>
wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">Ahoj,<br>
<br>
jen bych doplnil, pokud jsem správně pochopil z
internetu. Problém se<br>
týká pouze certifikátů vydaných pomocí DNS validace a ne
přes HTTP.<br>
</blockquote>
</div>
</div>
<div dir="auto"><br>
</div>
<div dir="auto">Ne, to není spravně. Problem se týká
certifikátů pro domény jež mají CAA-záznamy v DNS, a take
mají několik jmen v certifikátů. To mohou být i certifikáty
vydané přes HTTP, možna i jen HTTP.</div>
<div dir="auto"><br>
</div>
<div dir="auto">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
Ověřil jsem si mou teorii při postupném zadávání domén
na<br>
<a href="https://checkhost.unboundtest.com/"
rel="noreferrer noreferrer" target="_blank"
moz-do-not-send="true">https://checkhost.unboundtest.com/</a>
a incident se týkal pouze jedné<br>
domény s wildcard certifikátem, který jsem obnovil před
chvílí.<br>
<br>
<br>
Petr<br>
<br>
út 3. 3. 2020 v 22:48 odesílatel Pavel Snajdr <<a
href="mailto:snajpa@snajpa.net" target="_blank"
rel="noreferrer" moz-do-not-send="true">snajpa@snajpa.net</a>>
napsal:<br>
><br>
> Ahojte,<br>
><br>
> TLDR: jelikoz je v seznamu dost domen clenu
vpsFree, zkontrolujte si,<br>
> prosim, svoje Let's Encrypt certifikaty, pokud LE
pouzivate.<br>
><br>
> Petr sepsal detaily pekne prehledne na blog:<br>
><br>
> <a
href="https://blog.vpsfree.cz/lets-encrypt-revokuje-tri-miliony-certifikatu-zkontrolujte-ty-sve/"
rel="noreferrer noreferrer" target="_blank"
moz-do-not-send="true">https://blog.vpsfree.cz/lets-encrypt-revokuje-tri-miliony-certifikatu-zkontrolujte-ty-sve/</a><br>
><br>
> Diky za pozornost a konec hlaseni ;)<br>
><br>
> /snajpa<br>
> _______________________________________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz"
target="_blank" rel="noreferrer"
moz-do-not-send="true">Community-list@lists.vpsfree.cz</a><br>
> <a
href="http://lists.vpsfree.cz/listinfo/community-list"
rel="noreferrer noreferrer" target="_blank"
moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a><br>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz"
target="_blank" rel="noreferrer"
moz-do-not-send="true">Community-list@lists.vpsfree.cz</a><br>
<a
href="http://lists.vpsfree.cz/listinfo/community-list"
rel="noreferrer noreferrer" target="_blank"
moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote>
</div>
</div>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
Community-list mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz" moz-do-not-send="true">Community-list@lists.vpsfree.cz</a>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list" moz-do-not-send="true">http://lists.vpsfree.cz/listinfo/community-list</a>
</pre>
</blockquote>
<br>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
Community-list mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a>
<a class="moz-txt-link-freetext" href="http://lists.vpsfree.cz/listinfo/community-list">http://lists.vpsfree.cz/listinfo/community-list</a>
</pre>
</blockquote>
<p><br>
</p>
</body>
</html>