Se usi “Let’s encrypt” con Home Assistant o similari, dalle 21 di oggi potresti andare in panne

1 minuti di lettura

Senza troppi preamboli: a partire dalle 21 di oggi giovedì 5 marzo 2020, l’indirizzo web che usi per controllare la tua domotica potrebbe smettere di funzionare.

Perché? Semplice. Let’s encrypt – una delle certification authority che fornisce i certificati crittografici TLS (gratuiti) utili alla securizzazione di molti servizi (tra i quali il sito web della nostra domotica personale) – ha scoperto che 3.048.289 certificati emessi nel tempo sono potenzialmente insicuri per una falla nel processo di verifica/emissione.

La questione è complessa, ma la risoluzione è semplice: richiedere un nuovo certificato. Sì, perché i certificati malformati sono previsti progressivamente in revoca a partire dalle 20:00 UTC del 4 marzo 2020 (le 21 ora italiana) fino alle ore 3 UTC del 5 marzo 2020 (le 4 di giovedì mattina 5 marzo), rendendo l’accesso alla propria istanza non più funzionante – non in maniera definitiva, niente panico, però ecco, sì: potrebbe temporaneamente andare ko.

Se siete utenti Home Assistant e utilizzate HASSIO o Home Assistant Core installato su Raspbian (o Windows, o altro) potresti – se avete usato le nostre guide (HASSIORaspbian) – essere già a posto: ciclicamente il certificato viene verificato e, se in scadenza, riemesso, automaticamente – pertanto potresti già avere un nuovo certificato. Per altre realtà operative (openHAB eccetera) la questione è la medesima. Se è già venerdì (o un giorno seguente) e la tua domotica continua a funzionare, hai già la riposta: tutto ok.

Per verificare se il proprio certificato sia già stato aggiornato basta collegarsi a questo indirizzo e inserire l’indirizzo della propria domotica (senza il prefisso https://), per esempio

casamia.duckdns.org

MA ATTENZIONE: il test prevede che la porta 443 esterna sia ruotata verso la porta interna del servizio che usa il certificato (tipo la 8123 di Home Assistant). Differentemente, il test fallirà a prescindere.


Effettuato il test e in presenza di un certificato valido, il risultato dovrebbe essere il seguente:

The certificate currently available on casamia.duckdns.org is OK. It is not one of the certificates affected by the Let’s Encrypt CAA rechecking problem. Its serial number is XXXXXXXXXXXXXXXXX

Qualora invece il messaggio fosse negativo, allora avreste un problema: per risolvere, è sufficiente lanciare la procedura di rigenerazione automatica (la quale è indicata nelle guide di riferimento in base a cosa in uso).

Ovviamente ne parliamo in chat.


Telegram News Channel