mybloodiscoffee
Expert 1.0
Barusan baca info, saya rasa ini bisa jadi informasi penting untuk di sharing. Mungkin sebagian ada yg sudah tahu, mungkin lainnya belum tahu bahwa ada bug pada ssl gratisan let's encrypt. Berikut adalah sebagian kecil informasinya
Pada 2020-02-29 UTC, Let's Encrypt menemukan bug dalam kode CAA mereka. Perangkat lunak CA Let's Encrypti, Boulder, memeriksa catatan CAA pada saat yang sama memvalidasi kontrol pelanggan atas nama domain. Sebagian besar pelanggan mengeluarkan sertifikat segera setelah validasi kontrol domain, tetapi Let's Encrypt menganggap validasi ok ok saja untuk 30 hari. Itu berarti dalam beberapa kasus Let's Encrypt perlu memeriksa catatan CAA untuk kedua kalinya, tepat sebelum penerbitan. Secara khusus, Let's Encrypt harus memeriksa CAA dalam waktu 8 jam sebelum penerbitan (per BRs §3.2.2.8), jadi setiap nama domain yang divalidasi lebih dari 8 jam yang lalu harus diperiksa ulang.
Bug: ketika permintaan sertifikat berisi N nama domain yang membutuhkan CAA memeriksa ulang, Boulder akan memilih satu nama domain dan memeriksanya N kali. Apa artinya ini dalam praktik adalah bahwa jika pelanggan memvalidasi nama domain pada waktu X, dan CAA mencatat untuk domain itu pada saat X mengizinkan penerbitan Let's Encrypt, pelanggan akan dapat mengeluarkan sertifikat yang berisi nama domain itu hingga X + 30 hari, bahkan jika seseorang kemudian menginstal catatan CAA pada nama domain yang melarang penerbitan oleh Let's Encrypt.
Let's Encrypt mengonfirmasi bug pada 2020-02-29 03:08 UTC, dan menghentikan penerbitan pada 03:10. Let's Encrypt menerapkan perbaikan pada pukul 05:22 UTC dan kemudian mengaktifkan kembali penerbitan.
Investigasi awal menunjukkan bug diketemukan pada 2019-07-25. Let's Encrypt akan melakukan investigasi yang lebih rinci dan memberikan postmortem ketika sudah selesai.
Seperti yang dinyatakan dalam forum dukungan Let's Encrypt, 2,6%, yaitu 3.048.289 sertifikat yang berlaku saat ini terpengaruh, dari ~ 116 juta keseluruhan sertifikat Let's Encrypt yang aktif. Let's Encrypt telah merencanakan untuk mencabut sertifikat yang dipengaruhi oleh bug ini pada 2020-03-04 20:00 UTC (15:00 US EST). Pelanggan yang terkena dampak telah diberitahu melalui email. Jika domain Anda terpengaruh, Anda mungkin akan menerima email dengan baris subjek - ACTION REQUIRED: Renew these Let’s Encrypt certificates by March 4. Jika Anda menerima email ini, harap perbarui sertifikat ASAP.
Jika anda menggunakan layanan let's encrypt dan ingin tahu apakah ssl Let's Encrypt anda terkena issue ini, bisa dicek dahulu hasilnya langsung di https://checkhost.unboundtest.com/ masukkan hostname/nama domain yg menggunakan Let's Encrypt dan klik tombol query.
Jika ssl Let's Encrypt bebas dari issue diatas hasil query akan spt ini: "The certificate currently available on namahostname.tld is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0xxxxx978abxxxx."
Jika ssl let's encrypt yg anda gunakan termasuk kena issue diatas hasil query kira" akan spt ini:
"The certificate currently available on namahostname.tld needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dxxxxxxa96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate."
Jika anda menggunakan certbot pada server dan ssl let's encrypt anda termasuk yg kena issue ini, solusinya mudah, cukup ketikkan ini sebagai su root:
certbot renew --force-renewal
Untuk mengetahui progress case ini bisa vek langsung di komunitas let's encrypt disini: https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
Pada 2020-02-29 UTC, Let's Encrypt menemukan bug dalam kode CAA mereka. Perangkat lunak CA Let's Encrypti, Boulder, memeriksa catatan CAA pada saat yang sama memvalidasi kontrol pelanggan atas nama domain. Sebagian besar pelanggan mengeluarkan sertifikat segera setelah validasi kontrol domain, tetapi Let's Encrypt menganggap validasi ok ok saja untuk 30 hari. Itu berarti dalam beberapa kasus Let's Encrypt perlu memeriksa catatan CAA untuk kedua kalinya, tepat sebelum penerbitan. Secara khusus, Let's Encrypt harus memeriksa CAA dalam waktu 8 jam sebelum penerbitan (per BRs §3.2.2.8), jadi setiap nama domain yang divalidasi lebih dari 8 jam yang lalu harus diperiksa ulang.Bug: ketika permintaan sertifikat berisi N nama domain yang membutuhkan CAA memeriksa ulang, Boulder akan memilih satu nama domain dan memeriksanya N kali. Apa artinya ini dalam praktik adalah bahwa jika pelanggan memvalidasi nama domain pada waktu X, dan CAA mencatat untuk domain itu pada saat X mengizinkan penerbitan Let's Encrypt, pelanggan akan dapat mengeluarkan sertifikat yang berisi nama domain itu hingga X + 30 hari, bahkan jika seseorang kemudian menginstal catatan CAA pada nama domain yang melarang penerbitan oleh Let's Encrypt.
Let's Encrypt mengonfirmasi bug pada 2020-02-29 03:08 UTC, dan menghentikan penerbitan pada 03:10. Let's Encrypt menerapkan perbaikan pada pukul 05:22 UTC dan kemudian mengaktifkan kembali penerbitan.
Investigasi awal menunjukkan bug diketemukan pada 2019-07-25. Let's Encrypt akan melakukan investigasi yang lebih rinci dan memberikan postmortem ketika sudah selesai.
Seperti yang dinyatakan dalam forum dukungan Let's Encrypt, 2,6%, yaitu 3.048.289 sertifikat yang berlaku saat ini terpengaruh, dari ~ 116 juta keseluruhan sertifikat Let's Encrypt yang aktif. Let's Encrypt telah merencanakan untuk mencabut sertifikat yang dipengaruhi oleh bug ini pada 2020-03-04 20:00 UTC (15:00 US EST). Pelanggan yang terkena dampak telah diberitahu melalui email. Jika domain Anda terpengaruh, Anda mungkin akan menerima email dengan baris subjek - ACTION REQUIRED: Renew these Let’s Encrypt certificates by March 4. Jika Anda menerima email ini, harap perbarui sertifikat ASAP.
Jika anda menggunakan layanan let's encrypt dan ingin tahu apakah ssl Let's Encrypt anda terkena issue ini, bisa dicek dahulu hasilnya langsung di https://checkhost.unboundtest.com/ masukkan hostname/nama domain yg menggunakan Let's Encrypt dan klik tombol query.
Jika ssl Let's Encrypt bebas dari issue diatas hasil query akan spt ini: "The certificate currently available on namahostname.tld is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0xxxxx978abxxxx."
Jika ssl let's encrypt yg anda gunakan termasuk kena issue diatas hasil query kira" akan spt ini:
"The certificate currently available on namahostname.tld needs renewal because it is affected by the Let's Encrypt CAA rechecking problem. Its serial number is 0fd078dxxxxxxa96b6038fe0000. See your ACME client documentation for instructions on how to renew a certificate."
Jika anda menggunakan certbot pada server dan ssl let's encrypt anda termasuk yg kena issue ini, solusinya mudah, cukup ketikkan ini sebagai su root:
certbot renew --force-renewal
Untuk mengetahui progress case ini bisa vek langsung di komunitas let's encrypt disini: https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
