Vamos a cifrar es una C sin fines de lucro certificado A autoridad (en breve CA ) dirigido por ISRG (yo internet S seguridad R búsqueda G grupo). ¡Proporcionan certificados SSL/TLS para habilitar https en el dominio de millones de sitios web de forma gratuita! Desafortunadamente, hay un error, conocido como error de revisión de CAA , en su código CAA.
Error de revisión de Letsencrypt CAA
Según el anuncio de Let's Encrypt , cuando una solicitud de certificado contenía N nombres de dominio que necesitaban una nueva verificación de CAA, Boulder (el software de CA) elegiría un nombre de dominio y lo verificaría N veces. Lo que esto significa en la práctica es que si un suscriptor validó un nombre de dominio en el momento X, y los registros CAA para ese dominio en el momento X permitieron la emisión de Let's Encrypt, ese suscriptor podría emitir un certificado que contenga ese nombre de dominio hasta X+30 días, incluso si alguien más tarde instaló registros CAA en ese nombre de dominio que prohíben la emisión por parte de Let's Encrypt.
Este error fue confirmado por el equipo de Let's Encrypt el 29 de febrero de 2020. Veamos cómo verificar si el dominio de un sitio web está afectado por el error de verificación de CAA de Letsencrypt.
Cómo verificar si su dominio está afectado por el error de verificación de CAA de LetsEncrypt
Para verificar si su dominio se ha visto afectado por el error de verificación de CAA de cualquier sistema similar a Unix, ejecute:
$ curl -XPOST -d 'fqdn=www.example.com' https://unboundtest.com/caaproblem/checkhost
Reemplace www.example.com con su propio nombre de dominio.
Si ve un resultado como el siguiente, significa que su dominio no está afectado.
The certificate currently available on www.example.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Si su dominio se ve afectado, el mensaje sería como:
The certificate currently available on www.example.com needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate.
Alternativamente, puede usar la siguiente herramienta en línea para verificar si su dominio se ve afectado desde un sistema Windows o dispositivos móviles.
- https://checkhost.unboundtest.com/
O bien, verifique manualmente que el número de serie de su certificado esté presente en la lista de certificados afectados en el siguiente enlace.
- Descargar las series de certificados afectados
$ wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz
A continuación, busque el número de serie de su certificado:
$ openssl s_client -connect example.com:443 -showcerts -servername example.com </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Reemplace example.com con su nombre de dominio.
Salida de muestra:
Serial Number 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Ahora verifique que la serie esté presente en el archivo descargado:
$ zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-affected-serials.txt.gz
También puede verificar si la entrada de su dominio está presente como se muestra a continuación.
$ zgrep 'www.example.com' caa-rechecking-incident-affected-serials.txt.gz
Si no ves nada, eres bueno ¡ir! Su dominio no se ve afectado.
Si ve uno o más nombres de dominio y certificados seriales en la salida, DEBE RENOVAR LO ANTES POSIBLE.
¿Cuántos certificados están afectados?
Como se indica en el foro de soporte de Let's Encrypt , 2,6 % , es decir, 3.048.289 los certificados actualmente válidos se ven afectados, de ~116 millones Certificados de Let's Encrypt activos en general. Let's Encrypt ha planeado revocar los certificados que se vieron afectados por este error el 4 de marzo de 2020 a las 20:00 UTC (3:00 p. m., hora del este de EE. UU.). Los suscriptores afectados ya han sido notificados por correo electrónico. Si su dominio se ve afectado, probablemente haya recibido un correo electrónico con el asunto:ACCIÓN NECESARIA:renueve estos certificados de Let's Encrypt antes del 4 de marzo . Si ha recibido este correo, renueve los certificados lo antes posible.
Renovar los certificados afectados
Si su dominio se ve afectado por el error de verificación de CAA, debe renovarlo. De lo contrario, los visitantes de su sitio web verán advertencias de seguridad hasta que renueve el certificado.
Si está utilizando Certbot , el comando para renovar es:
certbot renew --force-renewal
Si no puede solucionar este problema por su cuenta, comuníquese con el foro de soporte de Let's Encrypt o solicite ayuda a su proveedor de alojamiento para solucionar este problema lo antes posible.
Actualización:
Let's Encrypt pospone la revocación del certificado. Más detalles en el siguiente enlace.
- https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3