Compruebe si su dominio se ve afectado por Letsencrypt CAA Rechecking Bug

Vamos a cifrar es una organización sin fines de lucro Ccertificado Aautoridad (en breve QUE) dirigido por ISRG (Iinternet Sseguridad Rinvestigacion GRAMOgrupo). ¡Proporcionan certificados SSL/TLS para habilitar https en el dominio de millones de sitios web de forma gratuita! Desafortunadamente, hay un error, conocido como Error de revisión de CAAen su código CAA.

Fallo de revisión de CAA de Letsencrypt

De acuerdo con la Anuncio de Let’s Encryptcuando una solicitud de certificado contenía N nombres de dominio que necesitaban una nueva verificación de CAA, Roca (el software de CA) elegiría un nombre de dominio y lo verificaría N veces. Lo que esto significa en la práctica es que si un suscriptor validó un nombre de dominio en el momento X, y los registros CAA para ese dominio en el momento X permitieron Let’s Encrypt emisión, ese suscriptor podría emitir un certificado que contenga ese nombre de dominio hasta X+30 días, incluso si alguien más tarde instaló registros CAA en ese nombre de dominio que prohíben la emisión por Let’s Encrypt.

este error fue confirmado por el equipo de Let’s Encrypt el 29 de febrero de 2020. Veamos cómo verificar si el dominio de un sitio web está afectado por el error de verificación de CAA de Letsencrypt.

Cómo verificar si su dominio se ve afectado por el error de verificación de LetsEncrypt CAA

Para verificar si su dominio se ha visto afectado por el error de verificación de CAA de cualquier sistema similar a Unix, ejecute:

$ curl -XPOST -d 'fqdn=www.example.com' https://unboundtest.com/caaproblem/checkhost

Reemplazar www.example.con con su propio nombre de dominio.

Si ve un resultado como el siguiente, significa que su dominio no se ve afectado.

The certificate currently available on www.example.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000

Si su dominio se ve afectado, el mensaje sería como:

The certificate currently available on www.example.com needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate.

Alternativamente, puede usar la siguiente herramienta en línea para verificar si su dominio se ve afectado desde un sistema Windows o dispositivos móviles.

O bien, verifique manualmente que el número de serie de su certificado esté presente en la lista de certificados afectados en el siguiente enlace.

$ wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz

A continuación, busque el número de serie de su certificado:

$ openssl s_client -connect example.com:443 -showcerts -servername example.com </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :

Reemplazar example.con con su nombre de dominio.

Salida de muestra:

Serial Number
0fd078dd48f1a2bd4d0f2ba96b6038fe0000

Ahora verifique que la serie esté presente en el archivo descargado:

$ zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-affected-serials.txt.gz

También puede verificar si su entrada de dominio está presente como se muestra a continuación.

$ zgrep 'www.example.com' caa-rechecking-incident-affected-serials.txt.gz

Si usted no ves nada, eres bueno ¡ir! Su dominio no se ve afectado.

Si ve uno o más nombres de dominio y certificados seriales en la salida, DEBE RENOVAR LO ANTES POSIBLE.

¿Cuántos certificados están afectados?

Como se indica en el soporte de Let’s Encrypt foro, 2,6%es decir 3.048.289 los certificados actualmente válidos se ven afectados, fuera de ~116 millones activo en general Let’s Encrypt certificados Let’s Encrypt ha planeado revocar los certificados que se vieron afectados por este error el 4 de marzo de 2020 a las 20:00 UTC (3:00 p. m., hora del este de EE. UU.). Los suscriptores afectados ya han sido notificados por correo electrónico. Si su dominio se ve afectado, probablemente haya recibido un correo electrónico con el asunto: ACCIÓN REQUERIDA: Renovar estos certificados de Let’s Encrypt antes del 4 de marzo. Si ha recibido este correo, renueve los certificados lo antes posible.

Renovar certificados afectados

Si su dominio se ve afectado por el error de verificación de CAA, debe renovarlo. De lo contrario, los visitantes de su sitio web verán advertencias de seguridad hasta que renueve el certificado.

Si estás usando Certbotel comando para renovar es:

certbot renew --force-renewal

Si no puede solucionar este problema por su cuenta, comuníquese con el foro de soporte de Let’s Encrypt o solicite ayuda a su proveedor de alojamiento para solucionar este problema lo antes posible.

Actualizar:

Let’s Encrypt pospone la revocación del certificado. Más detalles en el siguiente enlace.

¡Gracias por pasar!

Ayúdanos a ayudarte:

¡¡Que tenga un buen día!!

Related Posts