Let’s Encrypt 证书错误

由于2020.02.29 CAA重新检查错误4.6k ,很遗憾,我们需要吊销许多“让我们加密TLS / SSL”证书。我们正在通过电子邮件向受影响的订阅者发送电子邮件,并为其提供联系信息。

问:受影响的证书有多少?
答:2.6%。在大约1.16亿个
总体活动的Let’s Encrypt证书中,有3,048,289个当前有效的证书受到影响。
从覆盖
同一组域名的意义上来说,在受影响的证书中,大约有100 万个与其他受影响的证书重复。

由于此错误的运行方式,受影响最严重的证书
是非常频繁重新颁发的那些证书,这就是为什么这么多受影响的
证书重复的原因。

问:如何知道我是否正在使用受影响的证书?
答:这是一个在线工具,它将向您显示:https: //checkhost.unboundtest.com/

或者,在类似Linux / BSD的系统上,此命令将显示您example.com的当前证书序列号:

openssl s_client -connect example.com:443 -servername example.com -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :

问:我收到了一封电子邮件,告诉我应该更新证书,但是,在线测试工具没有表明我的证书需要更换。
答:即使您收到电子邮件,也有可能将受影响的证书替换为不受该错误影响的较新证书。(或者是由于自修复以来的最后几天发布该漏洞,或者仅仅是由于不满足该Bug触发所必需的特定计时标准。)在这种情况下,无需再次进行更新。您可以使用https://checkhost.unboundtest.com/ 2.1k 上的检查工具来验证您当前正在使用的证书是否需要续订,或者验证您当前正在使用的证书的序列号是否已存在。受影响的证书列表位于https://letsencrypt.org/caaproblem/ 3.0k 。

问:撤销将于2020年3月4日开始的时区
。A: UTC。我们尚未完全设置撤消的开始时间,但最早发生的时间是世界标准时间00:00

问:我在尝试更新时,这个错误:“瓮:极致:错误:rateLimited ::有一个给定类型的请求过多::错误创建新的证书::已发布了详细的组域的太多证书”
一:这通常意味着您的客户每天都在续订,这意味着您可能已经拥有了更新的,不受影响的证书。使用https://checkhost.unboundtest.com/ 2.1k 检查您的主机名。

我们还提高了重复证书的限制,因此更少的人会收到此错误。

From https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

原文链接:,转发请注明来源落伍老站长!

发表评论