ANNONCE TRADUITE DU CERTIFICATEUR
Révocation de certains certificats le 4 mars
JamesLE 4 mars 2020 à 05h39 #1
En raison du bug de recontrôle CAA 2020.02.29 , nous devons malheureusement révoquer de nombreux certificats Let’s Encrypt TLS / SSL. Nous envoyons des e-mails aux abonnés concernés pour lesquels nous avons des informations de contact.
Ce message et ce fil rassembleront les réponses aux questions les plus fréquemment posées sur cette révocation, et comment éviter les problèmes en renouvelant précocement les certificats concernés. Si vous êtes concerné, veuillez: lire attentivement ce fil de discussion et recherchez sur le forum de la communauté une réponse à votre question. Si vous n’en trouvez pas, veuillez rédiger un nouveau message dans la catégorie «Aide», en remplissant les questions du modèle qui apparaît lorsque vous composez votre message.
Q: Combien de certificats sont concernés?
R: 2,6% . Cela signifie que 3 048 289 certificats actuellement valides sont concernés, sur environ 116 millions.
certificats Let’s Encrypt globalement actifs. Parmi les certificats concernés, environ 1
millions sont des doublons d’autres certificats concernés, dans le sens de couvrir
le même ensemble de noms de domaine.
En raison du fonctionnement de ce bogue, les certificats les plus fréquemment affectés
étaient ceux qui sont réédités très fréquemment, c’est pourquoi tant de personnes touchées
les certificats sont des doublons.
Q: Quand les révocations commenceront-elles?
R: Afin de terminer les révocations avant la date limite du 2020-03-05 03:00 UTC, nous prévoyons de commencer à révoquer les certificats concernés au 2020-03-04 20:00 UTC (3:00 pm US EST). Veuillez continuer à renouveler et à remplacer les certificats concernés dans l’intervalle. S’il y a des changements à cette heure de début, des mises à jour seront fournies dans ce fil. Merci à tous pour votre patience, votre compréhension et votre aide pendant que nous travaillons sur ce problème.
Q: Comment savoir si j’utilise un certificat affecté?
R: Voici un outil en ligne qui vous montrera: https://checkhost.unboundtest.com/
Ou, sur un système de type Linux / BSD, cette commande vous montrera le numéro de série actuel du certificat d’ example.com :
openssl s_client -connect example.com:443 -servername example.com -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Vous pouvez voir la liste de tous les numéros de série concernés sur: https://letsencrypt.org/caaproblem/
Q: J’ai reçu l’e-mail m’informant que je devrais renouveler mon certificat, cependant, l’outil de test en ligne n’indique pas que mon certificat doit être remplacé.
R: Même si vous avez reçu un e-mail, il est possible que les certificats concernés aient été remplacés par des certificats plus récents non affectés par le bogue. (Soit en raison de sa publication au cours des derniers jours depuis sa correction, soit simplement en ne répondant pas aux critères de synchronisation spécifiques nécessaires au déclenchement du bogue.) Dans ce cas, il n’est pas nécessaire de les renouveler à nouveau. Vous pouvez utiliser l’outil de vérification sur [https://checkhost.unboundtest.com/&usg=ALkJrhhq4Ce0U1F4EGb-cGTku2_sHMLqCw) pour vérifier si le certificat que vous utilisez actuellement doit être renouvelé, ou vérifier que le numéro de série du certificat que vous utilisez actuellement est présent dans la liste des certificats affectés sur https://letsencrypt.org/caaproblem/ .
Q: J’obtiens cette erreur en essayant de renouveler: "urn: acme: error: rateLimited :: Il y avait trop de requêtes d’un type donné :: Erreur lors de la création d’un nouveau certificat :: trop de certificats déjà émis pour l’ensemble exact de domaines"
R: Cela signifie généralement que votre client renouvelle chaque jour, ce qui signifie que vous avez probablement déjà un certificat plus récent et non affecté. Vérifiez votre nom d’hôte avec [https://checkhost.unboundtest.com/&usg=ALkJrhhq4Ce0U1F4EGb-cGTku2_sHMLqCw) .
Nous avons également augmenté la limite de certificats en double afin que moins de personnes obtiennent cette erreur.
Si vous souhaitez suggérer d’autres questions ou corrections pour cet article, veuillez créer un nouvel article dans la catégorie “Commentaires sur le site”.
Merci à tous pour votre patience, votre compréhension et votre aide pendant que nous travaillons sur ce problème.