Ayo Enkripsi adalah C non nirlaba sertifikat A otoritas ( segera CA ) dijalankan oleh ISRG (Saya internet S keamanan R cari G rombongan). Mereka menyediakan sertifikat SSL/TLS untuk mengaktifkan https di jutaan domain situs web secara gratis! Sayangnya, ada bug, yang dikenal sebagai bug pemeriksaan ulang CAA , dalam kode CAA mereka.
Letsencrypt CAA Memeriksa Ulang Bug
Menurut pengumuman Let's Encrypt , ketika permintaan sertifikat berisi N nama domain yang memerlukan pemeriksaan ulang CAA, Boulder (perangkat lunak CA) akan memilih satu nama domain dan memeriksanya N kali. Artinya dalam praktiknya adalah jika pelanggan memvalidasi nama domain pada waktu X, dan catatan CAA untuk domain tersebut pada waktu X mengizinkan penerbitan Let's Encrypt, pelanggan tersebut akan dapat menerbitkan sertifikat yang berisi nama domain tersebut hingga X+30 hari, bahkan jika seseorang kemudian memasang catatan CAA pada nama domain tersebut yang melarang penerbitan oleh Let's Encrypt.
Bug ini dikonfirmasi oleh tim Let's Encrypt pada 29 Februari 2020. Mari kita lihat cara memeriksa apakah domain situs web terpengaruh oleh Bug Pemeriksaan Ulang CAA Letsencrypt.
Cara Memeriksa Apakah Domain Anda Terpengaruh Oleh LetsEncrypt CAA Memeriksa Ulang Bug
Untuk memeriksa apakah domain Anda terpengaruh dengan bug pemeriksaan ulang CAA dari sistem mirip Unix, jalankan:
$ curl -XPOST -d 'fqdn=www.example.com' https://unboundtest.com/caaproblem/checkhost
Ganti www.example.com dengan nama domain Anda sendiri.
Jika Anda melihat output seperti di bawah ini, berarti domain Anda tidak terpengaruh!
The certificate currently available on www.example.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Jika domain Anda terpengaruh, pesannya akan seperti:
The certificate currently available on www.example.com needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate.
Atau, Anda dapat menggunakan alat online berikut untuk memeriksa apakah domain Anda terpengaruh dari sistem Windows atau perangkat seluler.
- https://checkhost.unboundtest.com/
Atau, periksa secara manual nomor seri sertifikat Anda ada dalam daftar sertifikat yang terpengaruh di tautan berikut.
- Unduh serial sertifikat yang terpengaruh
$ wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz
Selanjutnya temukan nomor seri sertifikat Anda:
$ openssl s_client -connect example.com:443 -showcerts -servername example.com </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Ganti example.com dengan nama domain Anda.
Contoh keluaran:
Serial Number 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Sekarang periksa serial yang ada di file yang diunduh:
$ zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-affected-serials.txt.gz
Anda juga dapat memeriksa apakah entri domain Anda ada seperti di bawah ini.
$ zgrep 'www.example.com' caa-rechecking-incident-affected-serials.txt.gz
Jika Anda tidak melihat apa-apa, Anda baik-baik saja untuk pergi! Domain Anda tidak terpengaruh.
Jika Anda melihat satu atau lebih nama domain dan serial sertifikat di output, Anda HARUS MEMPERBARUI ASAP.
Berapa banyak sertifikat yang terpengaruh?
Sebagaimana dinyatakan dalam forumdukungan Let's Encrypt , 2,6% , yaitu 3.048.289 sertifikat yang saat ini valid terpengaruh, dari ~116 juta sertifikat Let's Encrypt yang aktif secara keseluruhan. Let's Encrypt telah merencanakan untuk mencabut sertifikat yang terpengaruh oleh bug ini pada 04-03-2020 20:00 UTC (15:00 US EST). Pelanggan yang terpengaruh telah diberi tahu melalui Email. Jika domain Anda terpengaruh, Anda mungkin akan menerima Email dengan baris subjek - PERLU TINDAKAN:Perbarui sertifikat Let's Encrypt ini paling lambat tanggal 4 Maret . Jika Anda menerima email ini, harap perbarui sertifikat secepatnya.
Perbarui sertifikat yang terpengaruh
Jika domain Anda terpengaruh oleh bug pemeriksaan ulang CAA, Anda harus memperbaruinya. Jika tidak, pengunjung situs web Anda akan melihat peringatan keamanan hingga Anda memperbarui sertifikat.
Jika Anda menggunakan Certbot , perintah untuk memperbarui adalah:
certbot renew --force-renewal
Jika Anda tidak dapat memperbaiki masalah ini sendiri, hubungi forum dukungan Let's Encrypt atau minta bantuan dari penyedia hosting Anda untuk memperbaiki masalah ini sesegera mungkin.
Pembaruan:
Let's Encrypt menunda pencabutan sertifikat. Selengkapnya di tautan berikut.
- https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3