Certificados SSL são uma forma muito comum atualmente de se comunicar com um website ou sistema web. Um dos principais emissores de certificados SSL gratuitos é o let’s encrypt e ele anuncionou em 29 de fevereiro de 2020 um bug que afeta alguns de seus certificados emitidos recentemente.
Como checar se o certificado emitido pelo let’s encrypt para o seu domínio (ou host) está sujeito ao bug:
No linux (ou unix-like), execute o comando abaixo no shell:
curl -XPOST -d 'fqdn=www.exemplo.com' https://unboundtest.com/caaproblem/checkhost
Altere o www.exemplo.com no comando acima para o seu domínio (ou host). Aqui vale apontar que muito provavelmente voce deve ter gerado um certificado apenas para o seu host e não para o domínio inteiro.
Se o resultado for o texto em inglês abaixo, o seu host ou dominio não está sendo afetado pelo bug.
The certificate currently available on www.example.com is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Entretando, caso a mensagem abaixo apareça, então voce está dentro dos certificados afetados e deve renová-lo imediatamente.
The certificate currently available on www.example.com needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dd48f1a2bd4d0f2ba96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate.
Caso voce não esteja em um sistema unix, voce pode conferir no site abaixo.
Caso voce prefira checar manualmente se o serial number do seu certificado está presente na lista dos certificados afetados, voce pode baixar a lista completa no link abaixo:
wget https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident-affected-serials.txt.gz
Localize o serial number do seu certificado, com o seguinte comando:
openssl s_client -connect example.com:443 -showcerts -servername exemplo.com </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Troque exemplo.com pelo seu domínio.
Exemplo de retorno:
Serial Number 0fd078dd48f1a2bd4d0f2ba96b6038fe0000
Agora confira se o serial está na lista, usando o zgrep
zgrep '0fd078dd48f1a2bd4d0f2ba96b6038fe0000' caa-rechecking-incident-affected-serials.txt.gz
Ou voce pode buscar diretamente pelo dominio ou host, conforme o exemplo abaixo:
zgrep 'www.example.com' caa-rechecking-incident-affected-serials.txt.gz
Se o resultado for nulo ou vazio, isso signifca que seu dominio (ou host) não está na lista e não está afetado pelo bug.
Entretanto, caso voce encontre o seu host ou domínio na lista, faça a renovação o quanto antes.
O Let’s Encrypt vai revogar estes certificados afetados pelo bug no dia 4 de março de 2020 as 20:00 UTC. Os dominios afetados pelo bug já foram alertados por email. Cheque a sua conta, certifique-se que seus domínios não estejam usando certificados com bug o quanto antes para evitar maiores problemas.
Renove o seu certificado SSL letsencrypt manualmente
Caso seu dominio ou host esteja listado, voce precisa renovar o(s) seu(s) certificado(s) o quanto antes.
Voce pode renovar através do comando abaixo, usando o certbot.
certbot renew --force-renewal
Se voce não conseguir renovar o seu certificado por conta própria, tente ajuda no forum do let’s encrypt.
Fiz uma tradução e resumo do post: ostechnix.com, creditos ao autor