Let's Encrypt 将在 3 月 5 日 11:00 前撤销部分证书 - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要在回答技术问题时复制粘贴 AI 生成的内容
lishunan246
V2EX    程序员

Let's Encrypt 将在 3 月 5 日 11:00 前撤销部分证书

  •  6      
  •   lishunan246 2020-03-04 09:30:11 +08:00 6480 次点击
    这是一个创建于 2046 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

    三百万受2020.02.29 CAA Rechecking Bug影响的证书将被撤销。

    Bug 原因:当一个证书有 n 个域名需要检查 caa 记录时,LE 会选择其中一个域名重复检查 n 次。此 bug 导致颁发证书时可能会无视域名的 caa 记录。

    第 1 条附言    2020-03-04 12:29:51 +08:00

    2020.02.29 CAA Rechecking Bug

    Let's Encrypt在验证域名控制权的同时也会检查对应的caa记录。域名控制权在被Let's Encrypt验证后的30天内有效。根据Baseline Requirements,域名的caa记录需要在颁发证书前8小时内检查。也就是说部分控制权有效的域名在颁发证书前需要再次检查caa记录。

    而再次检查caa记录的代码存在bug,对于n个需要再次检查caa记录的域名,Let's Encrypt仅对其中的一个检查了n次。

    如果用户通过了域名控制权和caa记录检查,给一个域名申请了Let's Encrypt证书,那么用户在之后的30天内申请包含这个域名的多域名证书时,其中一些域名的caa记录可能不会生效。

    确认bug的时间是2020-02-29 03:08 UTC。03:10 UTC证书颁发暂停。05:22 UTC bug被修复。

    初步认为bug引入日期为2019-07-25。

    根据Baseline Requirements,Let's Encrypt需要在5天内吊销有问题的证书。截止时间为2020-03-05 03:00 UTC,也就是北京时间3月5号11:00。

  • caa
  • 域名
  • bug
  • 证书
    25 条回复    2020-03-05 15:25:59 +08:00
    janxin
        1
    janxin  
       2020-03-04 09:44:17 +08:00
    赶紧更新一下证书保平安
    mostkia
        2
    mostkia  
       2020-03-04 09:50:19 +08:00
    反正也就 3 个月,不过对于那些机器自动部署的证书,未到期就撤销,机器能识别到并且立即自动补上吗?不行的话估计一些站点得无法访问一段时间了。
    kaixuan1901
        3
    kaixuan1901  
       2020-03-04 09:51:27 +08:00   5
    谢谢提醒。补上检查地址: https://checkhost.unboundtest.com/
    jokechat
        4
    jokechat  
       2020-03-04 09:54:38 +08:00   2
    https://checkhost.unboundtest.com/
    检查地址
    GDC
        5
    GDC  
       2020-03-04 10:08:16 +08:00 via iPhone
    @mostkia 不会自动识别,基本都是定时任务跑的
    iloveucyy19
        6
    iloveucyy19  
       2020-03-04 10:08:56 +08:00
    已检查,无问题,谢谢
    yushuda
        7
    yushuda  
       2020-03-04 10:16:39 +08:00
    受影响...换成阿里云免费证书了
    qingmumu
        8
    qingmumu  
       2020-03-04 10:33:05 +08:00
    感谢提醒,检查需要更换,已重新签了
    vlitter
        9
    vlitter  
       2020-03-04 10:35:28 +08:00 via Android
    @jokechat 谢谢
    kasusa
        10
    kasusa  
       2020-03-04 10:40:53 +08:00
    不知道你在说什么。。。但是 stocking 好评赞
    skymei
        11
    skymei  
       2020-03-04 10:47:07 +08:00
    谢谢提醒...,我的要换了
    momocraft
        12
    momocraft  
       2020-03-04 10:48:35 +08:00
    看 bug 描述 是不是只影 CAA record 出的多域名?
    scys
        13
    scys  
       2020-03-04 10:52:16 +08:00
    被命中,重新申请
    Xusually
        14
    Xusually  
       2020-03-04 10:52:56 +08:00
    检查受影响,已经--force 重签并更新
    谢谢提醒
    timwei
        15
    timwei  
       2020-03-04 11:03:44 +08:00
    ```
    serial 03c231ad3f9d99a5086bbfd3027912dbc141 50381456 74db2b554c54e5774ce576ad3fa1489a70a81683f9b87a1f8b03fc566d9fb40a names: [*.dev.v2ex.co *.v2ex.co *.v2ex.com v2ex.co v2ex.com] missing CAA checking results for *.v2ex.com at 2020-02-09 19:57:32.092245047 +0000 UTC
    ```
    chping
        16
    chping  
       2020-03-04 11:35:44 +08:00
    各种云都有免费的证书哦
    x66
        17
    x66  
       2020-03-04 11:55:52 +08:00
    两个域名检查之后都没问题。
    lc7029
        18
    lc7029  
       2020-03-04 11:57:28 +08:00
    自签证书路过。。。
    lazyyz
        19
    lazyyz  
       2020-03-04 12:04:49 +08:00 via Android
    手里域名检查后都没问题
    gam2046
        20
    gam2046  
       2020-03-04 12:07:57 +08:00
    已签发,未到期的证书,如何吊销?难道是直接把中间证书吊销么。
    learningman
        21
    learningman  
       2020-03-04 12:31:10 +08:00
    @gam2046 OCSP,现在的浏览器都会做这个检查,不做这个检查的确实不受影响
    zeocax
        22
    zeocax  
       2020-03-04 12:51:16 +08:00 via Android
    @gam2046 https://www.cnxct.com/browsers-and-certificate-validation/
    geekzu
        23
    geekzu  
       2020-03-05 05:53:05 +08:00 via Android
    @learningman chrome 就不查
    geekzu
        24
    geekzu  
       2020-03-05 05:56:58 +08:00 via Android
    楼主表述的 Bug 原因不太准确,LE 这次 Bug 是 CAA 验证有效期错误(本应缓存 8 小时,却错误设置成 30 天),而不是验证范围(漏验证部分域名)那么严重
    learningman
        25
    learningman  
       2020-03-05 15:25:59 +08:00
    @geekzu chrome 是自己弄了个证书透明吧
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     2926 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 27ms UTC 12:53 PVG 20:53 LAX 05:53 JFK 08:53
    Do have faith in what you're doing.
    ubao snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86