Ahoj,

týká se to certifikátů, které jsou vystaveny na více domén (ne takových, které mohou být pokryty jedním CAA záznamem). Typicky se jedná o více domén 2. úrovně nebo v různých TLD. Certifikátů pro domény se subdoménami (např. mojedomena.cz a www.mojedomena.cz) se problém netýká a proto je není potřeba obnovovat.

Lukáš Jelínek

Ahoj,

měl jsem 2 zásahy, oba certifikáty byly pro mnoho domén, oba HTTP validací a ani jedna doména nemá CAA. Takže se to nejspíš může týkat všech. Podle popisu chyby to tak i být musí (na typu validace nezáleží a CAA záznam se klidně může během těch 30ti dnů objevit i když tam předtím nebyl).

Někomu by se mohl hodit takový jednoduchý a stupidní "two-liner" co jsem použil (ušetřil mi dost ťukání, mám tam docela dost domén):

# export domains=`certbot certificates | grep Domains | awk -F ": " "{print \\\$2}"`; echo $domains
# for dom in $domains ; do curl -XPOST -d "fqdn=$dom" https://checkhost.unboundtest.com/checkhost; done

Š.


 
Dne 04. 03. 20 v 1:39 Alexander Zubkov napsal(a):


On Tue, Mar 3, 2020, 23:50 Petr Parolek <petr.parolek@gmail.com> wrote:
Ahoj,

jen bych doplnil, pokud jsem správně pochopil z internetu. Problém se
týká pouze certifikátů vydaných pomocí DNS validace a ne přes HTTP.

Ne, to není spravně. Problem se týká certifikátů pro domény jež mají CAA-záznamy v DNS, a take mají několik jmen v certifikátů. To mohou být i certifikáty vydané přes HTTP, možna i jen HTTP.

Ověřil jsem si mou teorii při postupném zadávání domén na
https://checkhost.unboundtest.com/ a incident se týkal pouze jedné
domény s wildcard certifikátem, který jsem obnovil před chvílí.


Petr

út 3. 3. 2020 v 22:48 odesílatel Pavel Snajdr <snajpa@snajpa.net> napsal:
>
> Ahojte,
>
> TLDR: jelikoz je v seznamu dost domen clenu vpsFree, zkontrolujte si,
> prosim, svoje Let's Encrypt certifikaty, pokud LE pouzivate.
>
> Petr sepsal detaily pekne prehledne na blog:
>
> https://blog.vpsfree.cz/lets-encrypt-revokuje-tri-miliony-certifikatu-zkontrolujte-ty-sve/
>
> Diky za pozornost a konec hlaseni ;)
>
> /snajpa
> _______________________________________________
> Community-list mailing list
> Community-list@lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list


_______________________________________________
Community-list mailing list
Community-list@lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list