LetsEncrypt планирует отозвать свои сертификаты из-за программной ошибки

[JerleShannara]

Плазменный прЕвед от РКН.
Non-authoritative answer:
Name: unboundtest.com
Address: 165.227.59.74

УНИВЕРСАЛЬНЫЙ СЕРВИС

проверки ограничения доступа к сайтам и (или) страницам сайтов
сети «Интернет»

РЕЗУЛЬТАТ ПОИСКА

Искомый адрес: 165.227.59.74
Всего найдено записей: 2

Заблокирован IP по 15.3 и 15.4

[namikiri]

Это из-за блокировки цифрового оцеана.

[tester12]

Фурычит, но пишет: unknown: dial tcp 95.213.x.y:443: i/o timeout

[evg_krsk]

Что вы находитесь в РФ и нарушаете нулевое правило ведения бизнеса в РФ.

[eugenek]

За заголовок порку заслужили.

[minalexpro]

unboundtest.com/caaproblem.html
На текущий момент фурычит и проверяет. 2-3 проверки своих сертификатов не обнаружили проблем. Возможно, проблема коснулась небольшого % сертификатов.

[andreili]

Меня, с моим недо-сервером это коснулось — утром прилетел e-mail от них о необходимости обновления сертификатов.
Придётся обновлять, иначе скоро протухнут:

If you're not able to renew your certificate by March 4, the date we are
required to revoke these certificates, visitors to your site will see security
warnings until you do renew the certificate. Your ACME client documentation
should explain how to renew.

[dissection]

Да, мне тоже прилетело пписьмо с перечнем доменов, ккоторые надо обновить.

[simpleadmin]

Продвинутые пользователи могут сделать все самостоятельно, используя следующие команды:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :

для этого есть ключ serial

$ openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -noout -serial
serial=0FD078DD48F1A2BD4D0F2BA96B6038FE

или так удобоваримее

$ echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
serial=0FD078DD48F1A2BD4D0F2BA96B6038FE

[GennPen]

Можно и без всяких инструментов.
Зайти на сайт где используется сертификат, нажать на замочек у адресной строки, затем посмотреть сертификат и найти строчку с серийным номером.

[Sly_tom_cat]

Судя по описанию — тем у кого в серте один домен волноваться не нужно.
А вот если было несколько и последнее обновление было в период бага — то бежим обновлять сверхурочно.

В принципе проверится у них — тоже полезно…

А если влом проверятся (и разбираться) — то проще внеурочное обновление серта дернуть, авось они не лягут.

[psycho-coder]

А вот если было несколько и последнее обновление было в период бага — то бежим обновлять сверхурочно.

LE же ставит в крон раз в день проверку на обновление сертификатов

[Serge81]

Ни один сайт не зацепило вроде! Недавно все сертификаты обновлял

[icetinte]

За что я люблю LE, так это за своевременное уведомление. Сегодня письмо пришло.

[bgilfoyle]

Спасибо за информацию.

[Finnix]

Рад был помочь!

[Aurums]

Проверил LetsEncrypt на своих сайтах у ssllabs.com, категория упала с А на B, да уж)
А на unboundtest так попасть и не могу

[NeLexa]

LetsEncrypt тут не при чём. Пора обновить конфиг (https://ssl-config.mozilla.org/) до Intermediate (отказаться от TLSv1 и TLSv1.1), если хотите A+.

[Aurums]

Да в этом и дело, просто до этого было A+ и подумал может связано с этой ситуацией.

[Aurums]

Я написал хостеру
Вот ответ его
«Это происходит из-за поддержки нами устаревших версий TLS. Скоро мы откажемся от этой поддержки, но пока это находится в стадии тестирования, чтобы не навредить пользователям.»
так что править конфиг бесполезно думаю)

[artemonuchin]

Не знаю, связано ли моя проблема с этой ошибкой, что вряд ли, но последние месяца 2-3 не могу получить сертификаты для сервера разработки (домены и поддомены чисто для демонстрации сайтов). Но меня это не парит, так как на данный момент там нет активных сайтов, но не приятно что на сам домен + пара других доменов, что на хостинге, сертификаты не выдаются. Просто висит без конца «Процесс выдачи сертификата начат» и всё. Работаю через http.

[Godless]

У вас лимит запросов не превышен? клац
Из-за какой-нить ошибки автоматизации легко превысить 60/час.

The Certificates per Registered Domain limit is 30,000 per week.
The Duplicate Certificate limit is 30,000 per week.
The Failed Validations limit is 60 per hour.
The Accounts per IP Address limit is 50 accounts per 3 hour period per IP.
For ACME v2, the New Orders limit is 1,500 new orders per 3 hour period per account.

[Dekmabot]

А вот так выглядит подтверждение наличия проблемы:
The certificate currently available on ####.ru needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is ####. See your ACME client documentation for instructions on how to renew a certificate.