centos 6, centos7, ssl

Проверить, что ваш домен не подвержен уязвимости Letsencrypt CAA Recheck

Thank you for reading this post, don't forget to subscribe! 
Let’s Encrypt — это неком­мер­че­ский центр сер­ти­фи­ка­ции (CA), управ­ля­е­мый ISRG (Internet Security Research Group).
Они предо­став­ля­ют сер­ти­фи­ка­ты SSL / TLS для бес­плат­но­го под­клю­че­ния https на мил­ли­о­нах доме­нов веб-сайтов!
К сожа­ле­нию, в их коде CAA есть ошиб­ка, извест­ная как ошиб­ка повтор­ной про­вер­ки CAA.

Баг Letsencrypt CAA

Соглас­но объ­яв­ле­нию Let’s Encrypt, когда запрос сер­ти­фи­ка­та содер­жит N домен­ных имен, для кото­рых тре­бо­ва­лась повтор­ная про­вер­ка CAA, Boulder (про­грамм­ное обес­пе­че­ние CA) выби­рал одно домен­ное имя и про­ве­рял его N раз.

На прак­ти­ке это озна­ча­ет, что если под­пис­чик про­ве­рил домен­ное имя во вре­мя X, а запи­си CAA для это­го доме­на во вре­мя X поз­во­ли­ли выда­чу Let’s Encrypt, этот под­пис­чик мог бы выда­вать сер­ти­фи­кат, содер­жа­щий это домен­ное имя, до X + 30 дней, даже если кто-то поз­же уста­но­вил запи­си CAA на это домен­ное имя, кото­рые запре­ща­ют выда­чу Let’s Encrypt.

Эта ошиб­ка была под­твер­жде­на коман­дой Let Encrypt 29 фев­ра­ля 2020 года.

Давай­те посмот­рим, как про­ве­рить, не под­вер­жен ли домен веб-сай­та уяз­ви­мо­сти Letsencrypt CAA Rechecking.

Как проверить, не затронут ли ваш домен ошибка повторной проверки CAA LetsEncrypt

Что­бы про­ве­рить, не затро­нул ли ваш домен ошиб­ку повтор­ной про­вер­ки CAA в любых Unix-подоб­ных систе­мах, выполните:

Заме­ни­те www.example.com на ваше домен­ное имя.

Если вы види­те вывод, как пока­за­но ниже, это озна­ча­ет, что ваш домен не затронут!

Если ваш домен затро­нут, сооб­ще­ние будет выгля­деть так:
В каче­стве аль­тер­на­ти­вы вы може­те исполь­зо­вать сле­ду­ю­щий онлайн-инстру­мент, что­бы про­ве­рить, под­вер­жен ли ваш домен этой угрозе.
https://checkhost.unboundtest.com/
Или вруч­ную про­верь­те серий­ный номер сер­ти­фи­ка­та, при­сут­ству­ю­щий в спис­ке затро­ну­тых сер­ти­фи­ка­тов по сле­ду­ю­щей ссылке.
https://letsencrypt.org/caaproblem/

Далее най­ди­те серий­ный номер ваше­го сертификата:

Заме­ни­те example.com вашим домен­ным именем.

При­мер вывода:

Теперь про­верь­те, есть ли серий­ный номер в загру­жен­ном файле:

Вы так­же може­те про­ве­рить, при­сут­ству­ет ли запись ваше­го доме­на, как пока­за­но ниже.

Если вы ниче­го не види­те, вы може­те быть спокойны!

Ваш домен не затронут.

Если вы види­те одно или несколь­ко домен­ных имен и серий­ных номе­ров сер­ти­фи­ка­тов в выход­ных дан­ных, вы ДОЛЖНЫ ОБНОВИТЬСЯ СРОЧНО.

Сколько сертификатов затронуто в этой проблеме?

Как ука­за­но на фору­ме под­держ­ки Let Encrypt, затро­ну­то 2,6%, то есть 3 048 289 дей­ству­ю­щих в насто­я­щее вре­мя сер­ти­фи­ка­тов, из обще­го чис­ла актив­ных сер­ти­фи­ка­тов Let Encrypt в раз­ме­ре ~ 116 миллионов.

Let’s Encrypt пла­ни­ру­ет ото­звать сер­ти­фи­ка­ты, на кото­рые повли­я­ла эта ошиб­ка, в 2020-03-04 20:00 UTC (15:00 по восточ­но­му вре­ме­ни США).

Постра­дав­шие под­пис­чи­ки уже были уве­дом­ле­ны по элек­трон­ной почте.

Если ваш домен затро­нут, вы, веро­ят­но, полу­чи­ли бы элек­трон­ное пись­мо с темой — ACTION REQUIRED: Renew these Let’s Encrypt certificates by March 4.

Если вы полу­чи­ли это пись­мо, обно­ви­те сер­ти­фи­ка­ты как мож­но скорее.

Как обновить поврежденные сертификаты

Если на ваш домен вли­я­ет ошиб­ка повтор­ной про­вер­ки CAA, вы долж­ны про­длить серт.

В про­тив­ном слу­чае посе­ти­те­ли ваше­го сай­та будут видеть пре­ду­пре­жде­ния без­опас­но­сти, пока вы не про­дли­те сертификат.

Если вы исполь­зу­е­те Certbot, вот коман­да для обновления:

Если вы не може­те решить эту про­бле­му само­сто­я­тель­но, обра­ти­тесь на форум под­держ­ки Let Encrypt или попро­си­те помо­щи у ваше­го хостинг-про­вай­де­ра, что­бы испра­вить эту про­бле­му как мож­но скорее.