在闰日那天，Let's Encrypt宣布，它发现了一个CAA(证书颁发机构授权)代码中的bug。

 

这个bug打开了一个时间窗口，沐鸣开户测速在这个时间窗口中，即使该域的DNS中的CAA记录应该禁止证书的颁发。因此，Let's Encrypt是出于安全和安全的考虑，而不是出于方便的考虑，它会撤销当前无法确定是否合法的证书，比如:

 

不幸的是，这意味着我们需要撤销受此bug影响的证书，其中包括一个或多个证书。为了避免中断，您需要在2020年3月4日(星期三)之前更新和替换受影响的证书。我们真诚地为这个问题道歉。

 

如果您不能在3月4日(即我们要求撤销这些证书的日期)之前更新证书，那么访问您站点的访问者将看到安全警告，直到您更新证书。

 

让我们使用名为Boulder的证书授权软件进行加密。通常，沐鸣开户测速为许多单独的域名提供服务并使用Let's加密来保护它们的Web服务器将收到一个LE证书，该证书涵盖服务器使用的所有域名，而不是针对每个单独的域名的证书。

 

勒发现bug,而不是有效的创新艺人经纪公司记录分别检查每个域名授权域来更新服务器,博尔德将检查一个域名,服务器上的n次(其中n是LE-serviced域服务器)上的数量。Let's Encrypt通常认为域验证结果从验证之日起30天内有效，但CAA记录必须在签发证书前8小时内进行检查。

 

结果是出现了一个30天的窗口，在这个窗口中，Let's Encrypt可以向特定的Web服务器颁发证书，尽管在DNS中存在CAA记录，会禁止颁发证书。

 

由于Let's Encrypt发现自己可能已经颁发了不应该颁发的证书，所以它将撤销所有现有的证书，因为这些证书在3月4日(周三)可能没有经过适当的CAA记录检查。计划撤销证书的用户将需要在此之前手动强制更新。

 

如果管理员没有执行此手动更新步骤，到达其网站的浏览器将显示TLS安全警告，原因是证书被吊销。让我们以90天为间隔发行加密证书，沐鸣开户测速Certbot只在证书上还剩下30天或更少的时间时自动更新证书—因此，如果不执行手动强制更新，这可能意味着大约两个月的浏览器错误。

 

有很多很多ACME客户机，它们的过程各不相同，但是如果您正在使用Certbot，那么所需要做的就是更新Certbot—在命令行上进行一次强制更新。令人高兴的是，这是一个简单的过程—如下面的修订shell会话所示。

 

me@system76-pc: ~ $ ssh root@web.redacted.net

 

root@web.redacted.net的密码:

 

@ root@web:~# certbot更新——强制更新

 

将调试日志保存到/var/log/letsencrypt/ letsencrypt.com .log

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

处理/etc/letsencrypt /更新/ web.redacted.net.conf

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

插件选择:验证者apache，安装apache

 

更新现有证书

 

完成下列挑战:

 

http-01对dev.redacted0.org的挑战

 

http-01挑战redacted0.org

 

http-01对redacted1.com的挑战

 

redacted2.net的http-01挑战

 

http-01对redacted3.com的挑战

 

http-01对redacted4.com的挑战

 

http-01对redacted5.com的挑战

 

http-01对old.redacted0.org的挑战

 

http-01对redacted6.com的挑战

 

http-01对web.redac .net的挑战

 

http-01对www.dev.redacted0.org的挑战

 

http-01挑战www.redacted0.org

 

http-01对www.redacted1.com的挑战

 

http-01对www.redac.net的挑战

 

http-01对www.redacted3.com的挑战

 

http-01对www.redacted4.com的挑战

 

http-01对www.redacted5.com的挑战

 

http-01对www.redacted6.com的挑战

 

等待验证……

 

清理的挑战

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

重新加载apache服务器部署新证书;fullchain是

 

/etc/letsencrypt /生活/web.redacted.net/fullchain.pem

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

恭喜，所有更新成功。以下证书已更新:

 

/etc/letsencrypt /生活/web.redacted.net/fullchain.pem(成功)