isso é possível bloquear uma CA TLS específica (autoridade de certificação) na rede? por exemplo, bloquear todos os certificados emitidos pelo letsencrypt na minha rede. Existe algum IP ou nome de host para bloqueio?
Responder1
Você não pode bloquear certificados emitidos por uma CA bloqueando endereços IP ou nomes de host específicos em seu firewall.
Depois que um certificado é emitido, nem o serviço que utiliza o certificado, nem o cliente que acessa esse serviço precisam de contato com a CA para poder usar o certificado para proteger as comunicações.
(Isso é uma simplificação: por exemplo, a verificação do status de revogação do certificado precisa de contato com a CA, mas o AFAIK normalmente, quando o status de revogação não pode ser verificado, o certificado é considerado válido.)
Responder2
Se você deseja bloquear a emissão de letsencrypt (ou qualquer CA) para seu domínio e controla seu próprio DNS, publique um registro CAA em seu domínio.
Então, se você quiser bloquear todas as CAs, você pode adicionar um registro como
example.com. IN CAA 0 issue ";"
Imagine que tenho um servidor com 10 vps virtuais em execução, quero bloquear qualquer solicitação para letsencrypt para evitar a validação de certificados
Se você estiver executando todos os servidores da web, poderá bloquear o desafio HTTP-01 ajustando seu servidor da web para bloquear o acesso ao /.well-known/acme-challenge/
local. Se você tiver proxy reverso ou filtro da web no tráfego de entrada, também poderá bloquear esses URLs lá.