[vpsFree.cz: community-list] Let's Encrypt revokuje 3M certifikatu, zkontrolujte si ty sve

Lukáš Jelínek - AIKEN lukas at aiken.cz
Thu Mar 5 00:45:04 CET 2020


Ahoj,

týká se to certifikátů, které jsou vystaveny na více domén (ne takových,
které mohou být pokryty jedním CAA záznamem). Typicky se jedná o více
domén 2. úrovně nebo v různých TLD. Certifikátů pro domény se
subdoménami (např. mojedomena.cz a www.mojedomena.cz) se problém netýká
a proto je není potřeba obnovovat.

Lukáš Jelínek

> Ahoj,
>
> měl jsem 2 zásahy, oba certifikáty byly pro mnoho domén, oba HTTP
> validací a ani jedna doména nemá CAA. Takže se to nejspíš může týkat
> všech. Podle popisu chyby to tak i být musí (na typu validace nezáleží
> a CAA záznam se klidně může během těch 30ti dnů objevit i když tam
> předtím nebyl).
>
> Někomu by se mohl hodit takový jednoduchý a stupidní "two-liner" co
> jsem použil (ušetřil mi dost ťukání, mám tam docela dost domén):
>
> # export domains=`certbot certificates | grep Domains | awk -F ": "
> "{print \\\$2}"`; echo $domains
> # for dom in $domains ; do curl -XPOST -d "fqdn=$dom"
> https://checkhost.unboundtest.com/checkhost; done
>
> Š.
>
>
>  
> Dne 04. 03. 20 v 1:39 Alexander Zubkov napsal(a):
>>
>>
>> On Tue, Mar 3, 2020, 23:50 Petr Parolek <petr.parolek at gmail.com
>> <mailto:petr.parolek at gmail.com>> wrote:
>>
>>     Ahoj,
>>
>>     jen bych doplnil, pokud jsem správně pochopil z internetu. Problém se
>>     týká pouze certifikátů vydaných pomocí DNS validace a ne přes HTTP.
>>
>>
>> Ne, to není spravně. Problem se týká certifikátů pro domény jež mají
>> CAA-záznamy v DNS, a take mají několik jmen v certifikátů. To mohou
>> být i certifikáty vydané přes HTTP, možna i jen HTTP.
>>
>>     Ověřil jsem si mou teorii při postupném zadávání domén na
>>     https://checkhost.unboundtest.com/ a incident se týkal pouze jedné
>>     domény s wildcard certifikátem, který jsem obnovil před chvílí.
>>
>>
>>     Petr
>>
>>     út 3. 3. 2020 v 22:48 odesílatel Pavel Snajdr <snajpa at snajpa.net
>>     <mailto:snajpa at snajpa.net>> napsal:
>>     >
>>     > Ahojte,
>>     >
>>     > TLDR: jelikoz je v seznamu dost domen clenu vpsFree,
>>     zkontrolujte si,
>>     > prosim, svoje Let's Encrypt certifikaty, pokud LE pouzivate.
>>     >
>>     > Petr sepsal detaily pekne prehledne na blog:
>>     >
>>     >
>>     https://blog.vpsfree.cz/lets-encrypt-revokuje-tri-miliony-certifikatu-zkontrolujte-ty-sve/
>>     >
>>     > Diky za pozornost a konec hlaseni ;)
>>     >
>>     > /snajpa
>>     > _______________________________________________
>>     > Community-list mailing list
>>     > Community-list at lists.vpsfree.cz
>>     <mailto:Community-list at lists.vpsfree.cz>
>>     > http://lists.vpsfree.cz/listinfo/community-list
>>     _______________________________________________
>>     Community-list mailing list
>>     Community-list at lists.vpsfree.cz
>>     <mailto:Community-list at lists.vpsfree.cz>
>>     http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list


-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20200305/da5166c2/attachment-0001.html>


More information about the Community-list mailing list