[vpsFree.cz: community-list] Let's Encrypt revokuje 3M certifikatu, zkontrolujte si ty sve

Stepan Liska stepan at comlinks.cz
Wed Mar 4 22:09:32 CET 2020 

Ahoj,

měl jsem 2 zásahy, oba certifikáty byly pro mnoho domén, oba HTTP
validací a ani jedna doména nemá CAA. Takže se to nejspíš může týkat
všech. Podle popisu chyby to tak i být musí (na typu validace nezáleží a
CAA záznam se klidně může během těch 30ti dnů objevit i když tam předtím
nebyl).

Někomu by se mohl hodit takový jednoduchý a stupidní "two-liner" co jsem
použil (ušetřil mi dost ťukání, mám tam docela dost domén):

# export domains=`certbot certificates | grep Domains | awk -F ": "
"{print \\\$2}"`; echo $domains
# for dom in $domains ; do curl -XPOST -d "fqdn=$dom"
https://checkhost.unboundtest.com/checkhost; done

Š.


 
Dne 04. 03. 20 v 1:39 Alexander Zubkov napsal(a):
>
>
> On Tue, Mar 3, 2020, 23:50 Petr Parolek <petr.parolek at gmail.com
> <mailto:petr.parolek at gmail.com>> wrote:
>
>     Ahoj,
>
>     jen bych doplnil, pokud jsem správně pochopil z internetu. Problém se
>     týká pouze certifikátů vydaných pomocí DNS validace a ne přes HTTP.
>
>
> Ne, to není spravně. Problem se týká certifikátů pro domény jež mají
> CAA-záznamy v DNS, a take mají několik jmen v certifikátů. To mohou
> být i certifikáty vydané přes HTTP, možna i jen HTTP.
>
>     Ověřil jsem si mou teorii při postupném zadávání domén na
>     https://checkhost.unboundtest.com/ a incident se týkal pouze jedné
>     domény s wildcard certifikátem, který jsem obnovil před chvílí.
>
>
>     Petr
>
>     út 3. 3. 2020 v 22:48 odesílatel Pavel Snajdr <snajpa at snajpa.net
>     <mailto:snajpa at snajpa.net>> napsal:
>     >
>     > Ahojte,
>     >
>     > TLDR: jelikoz je v seznamu dost domen clenu vpsFree,
>     zkontrolujte si,
>     > prosim, svoje Let's Encrypt certifikaty, pokud LE pouzivate.
>     >
>     > Petr sepsal detaily pekne prehledne na blog:
>     >
>     >
>     https://blog.vpsfree.cz/lets-encrypt-revokuje-tri-miliony-certifikatu-zkontrolujte-ty-sve/
>     >
>     > Diky za pozornost a konec hlaseni ;)
>     >
>     > /snajpa
>     > _______________________________________________
>     > Community-list mailing list
>     > Community-list at lists.vpsfree.cz
>     <mailto:Community-list at lists.vpsfree.cz>
>     > http://lists.vpsfree.cz/listinfo/community-list
>     _______________________________________________
>     Community-list mailing list
>     Community-list at lists.vpsfree.cz
>     <mailto:Community-list at lists.vpsfree.cz>
>     http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20200304/4a0f151f/attachment.html>

More information about the Community-list mailing list