Let's Encrypt یک مجوز صدور گواهینامه غیرانتفاعی (CA) است که توسط ISRG (گروه تحقیقاتی امنیت اینترنت) اداره می شود.
آنها گواهی های SSL / TLS را برای اتصالات https رایگان در میلیون ها دامنه وب سایت ارائه می دهند!
متأسفانه ، در کد CAA آنها دارای خطایی است که به عنوان یک اعتبار مجدد CAA تأیید شده است.
اشکال Letsencrypt CAA
مطابق آگهی Let Encrypt ، هنگامی که یک درخواست گواهینامه حاوی نامهای دامنه N است که نیاز به اعتبار مجدد CAA دارند ، بولدر (نرم افزار CA ) یک نام دامنه را انتخاب کرد و آن را N بار بررسی کرد.
در عمل ، این است می گوید اگر مشترک در طول X نام دامنه را بررسی کند و ضبط های CAA برای این دامنه در طول X اجازه دهید رمزگذاری کنیم ، این مشترک می تواند گواهی نامه حاوی این نام دامنه را تا X + 30 روز صادر کند ، حتی اگر کسی بعداً من پرونده های CAA را بر روی این نام دامنه نصب کردم که ممنوعیت انتشار Let Encrypt را صادر می کنند.
این خطا توسط تیم Let Encrypt در 29 فوریه 2020 تأیید شد.
بیایید ببینیم که چگونه دامنه وب سایت را در معرض آسیب پذیری Letsencrypt قرار می دهیم. CAA Rechecking.
چگونه بررسی کنیم که آیا دامنه شما تحت تأثیر خطای اعتبار سنجی مجدد CAA LetsEncrypt است
برای بررسی اینکه دامنه شما تحت تأثیر خطای اعتبار سنجی مجدد CAA در هر سیستم مشابه یونیکس قرار ندارد ، اجرا کنید:
$ curl -XPOST -d 'fqdn = www.example.com' https: // unboundtest .com / caaproblem / چک لیست
www.example.com را با نام دامنه خود جایگزین کنید.
اگر خروجی را مطابق شکل زیر می بینید ، بدان معنی است که دامنه شما تحت تأثیر قرار نمی گیرد!
گواهی نامه موجود در www.example.com خوب است. این یکی از گواهینامه های تحت تأثیر مشکل بررسی مجدد CAA نیست. شماره سریال آن 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
اگر دامنه شما تحت تأثیر قرار گرفته باشد ، پیام به این شکل ظاهر می شود:
گواهی نامه موجود در www.example.com نیاز به تمدید دارد زیرا تحت تأثیر مشکل بررسی مجدد CAA است. شماره سریال آن 0fd078dd48f1a2bd4d0f2ba96b6038fe0000 است. برای راهنمایی در مورد نحوه تمدید گواهینامه به اسناد مشتری ACME مراجعه کنید.
همچنین ، می توانید از ابزار آنلاین زیر برای بررسی اینکه دامنه شما در معرض این تهدید است استفاده کنید.
https://checkhost.unboundtest.com/
یا شماره سریال گواهی را بررسی کنید ، در لیست گواهینامه های آسیب دیده در لینک زیر ذکر شده است.
https://letsencrypt.org/caaproblem/
$ wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz
بعد ، شماره سریال گواهینامه خود را بیابید:
$ opensl s_client -connect مثال.com:443 -showcerts -servername shembull.com / dev / null | opensl x509 -text-noout | grep -A 1 سریال شماره | tr -d:
مثال.com را با نام دامنه خود جایگزین کنید.
خروجی مثال:
شماره سریال 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
اکنون بررسی کنید که آیا شماره سریال در پرونده بارگیری شده وجود دارد:
$ zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-bandor-serials.txt.gz
اگر شما هم حضور داشته باشید می توانید بررسی کنید دامنه همانطور که در زیر نشان داده شده است.
$ zgrep 'www.example.com' caa-rechecking-incident-based-serials.txt.gz
اگر چیزی نبینید ، می توانید آرام باشید.
دامنه شما تحت تأثیر قرار نمی گیرد.
اگر یک یا چند نام دامنه و شماره سریال گواهی را در خروجی مشاهده می کنید ، باید به سرعت به روز کنید.
چه تعداد گواهینامه در این شماره تأثیر می گذارد؟
همانطور که در انجمن پشتیبانی Let Encrypt نشان داده شده است ، 2.6٪ ، یعنی 3،048،289 گواهینامه های معتبر در حال حاضر ، از تعداد کل گواهینامه های فعال رمزگذاری شده به مقدار 116 میلیون پوند.
بیایید رمزگذاری کنیم قصد داریم گواهینامه های تحت تأثیر این خطا را در سال 2020-03-04 20:00 UTC (15:00 UST) ابطال کنیم.
مشترکین متاثر از طریق ایمیل از قبل مطلع شده اند.
اگر دامنه شما تحت تأثیر قرار گرفت ، احتمالاً نامه ای را با موضوع دریافت خواهید کرد – مورد نیاز عمل: این موارد را تمدید کنید گواهی های رمزگذاری شده تا 4 مارس .
اگر این نامه را دریافت کردید ، لطفاً گواهینامه ها را در اسرع وقت تمدید کنید.
نحوه تمدید گواهینامه های آسیب دیده
اگر دامنه شما تحت تأثیر خطای اعتبار سنجی مجدد CAA قرار دارد ، باید این گواهی را تمدید کنید.
در غیر این صورت ، بازدید کنندگان به سایت شما تا زمان تمدید گواهینامه هشدارهای امنیتی را مشاهده می کنند.
اگر از Certbot استفاده می کنید ، این دستور برای به روزرسانی است:
تجدید Certbot - Force-تجدید
اگر نمی توانید این مشکل را خودتان حل کنید ، با انجمن پشتیبانی Let Encrypt تماس بگیرید یا از ارائه دهنده میزبان خود بخواهید که برای حل این مشکل در اسرع وقت کمک کند.