Let's Encrypt отзовёт ряд выданных сертификатов 28 января 2022 года

[rustelekom]

26 января 2022 года компания Let's Encrypt уведомила подписчиков (с действующим электронным почтовым адресом), что 28 января 2022 года мы отменим сертификаты, выпущенные за последние 90 дней и подтвержденные с помощью вызова TLS-ALPN-01. Этот отзыв затрагивает только сертификаты, выданные и подтвержденные с помощью вызова TLS-ALPN-01. Далеко не все клиенты использовали этот тип вызова. Certbot не поддерживает этот тип вызова, поэтому, если вы не получили письмо от нас о необходимости преждевременного продления, пользователи Certbot не затронуты.

В этом сообщении и теме будут собраны ответы на часто задаваемые вопросы об этом отзыве, а также о том, как избежать проблем, обновив затронутые сертификаты досрочно. Если вас это коснулось, пожалуйста: внимательно прочитайте эту тему и поищите ответ на свой вопрос на форуме сообщества. Если вы не нашли ответа, пожалуйста, создайте новое сообщение в категории "Помощь", заполнив вопросы в шаблоне, который появляется при создании сообщения. Ниже вы найдете некоторые темы для определенных клиентов и F.A.Q., которые мы будем регулярно обновлять.

Заметки и отправные точки для конкретных клиентов

Caddy
bitnami/bn-cert 297
autocert 107
apache mod_md
apache mod_md найти затронутые сертификаты 30
Traefik

Если вы используете certbot 47, вы не затронуты.

В: Как узнать, использую ли я затронутый сертификат?
О: Если вы получили письмо, значит, у вас есть затронутый сертификат. Не все подписчики имеют контактную информацию, поэтому вы можете быть затронуты даже если не получили письмо. Если вы успешно выпустили сертификат, проверенный с помощью TLS-ALPN-01 до 00:48 UTC 26 января 2022 года, то ваш сертификат затронут.

Мы подготовили загружаемый список из 334 записей , в котором указаны затронутые регистрационные идентификаторы, серии и домены. Подписчики могут загрузить этот список и перепроверить информацию.

Если вы не получили письмо, вам будет проще всего получить серийный номер для домена, который вы контролируете, а затем свериться со списком. На Linux/BSD-подобных системах эта команда покажет вам текущий серийный номер сертификата example.com:

openssl s_client -connect example.com:443 -servername example.com \
-showcerts</dev/null 2>/dev/null | openssl x509 -noout -serial | awk -F'=' '{print $2}'
Вам нужно заменить example.com на ваше доменное, чтобы увидеть серийный номер вашего сертификата.

Вы можете посмотреть объяснение данных списка, а также скачать его с сайта https://letsencrypt.org/tlsalpnrevocation/ 72.

В: Что произойдет, если я не заменю свой сертификат вовремя?
О: Если вы не сможете обновить свой сертификат до 28 января, посетители вашего сайта могут видеть предупреждения о безопасности, в зависимости от их браузера/клиента, пока вы не обновите свой сертификат. Ваша клиентская документация ACME должна объяснить, как обновить сертификат.

В: Какие клиенты поддерживают/не поддерживают TLS-ALPN-01?
О: Мы знаем, что Caddy, Traefik, apache mod_md и пакет go autocert поддерживают TLS-ALPN-01. Certbot не поддерживает этот тип вызова.

В: Когда начнется отзыв сертификатов?
О: Мы начнем отзывать сертификаты с 16:00 UTC 28 января 2022 года.

https://community.letsencrypt.org/t/...cations/170449

[ziliboba0213]

Паниковать уже можно, или это нечто специфическое? А то я дуб в этих вопросах

[Webrat]

Цитата:

Сообщение от ziliboba0213

Паниковать уже можно, или это нечто специфическое? А то я дуб в этих вопросах

Идешь по ссылке в посте, качаешь файл, распаковываешь, открываешь блокнотом. CTRL+F - твой домен. Не находишь - закрываешь и спишь спокойно. Нашел - стучи хостеру пускай поможет правильно перевыпустить сертификат.

[ziliboba0213]

Цитата:

Сообщение от Webrat

Идешь по ссылке в посте, качаешь файл, распаковываешь, открываешь блокнотом. CTRL+F - твой домен. Не находишь - закрываешь и спишь спокойно. Нашел - стучи хостеру пускай поможет правильно перевыпустить сертификат.

Фух, пронесло Пасиб