Постоянная ошибка SPF: превышено ограничение на количество запросов, равное 2
Я пытаюсь чтобы исправить мои настройки GoDaddy SPF.
Я получаю следующую ошибку: «Поиск и проверка записи SPF для: http: //www.scoutbox.us | www.scoutbox.us
Постоянная ошибка SPF: Превышен лимит недействительного поиска в 2 раза
Записи SPF публикуются в DNS как записи TXT.
Записи TXT, найденные для вашего домена: Проверка наличия действительной записи SPF.
Результаты - Превышен предел поиска по аннулированным постоянным ошибкам, равный 2
Я следовал этому руководству https://www.digitalocean.com/community/tutorials/how-to-create-an-ssl-certificate-on-nginx-for-ubuntu-14-04 но пока мой браузер показывает сертификат, отличный от того, который я использую. Может быть, он каким-то образом кеширован?
Вот тот, который я пытаюсь использовать -
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Ihre Beschreibung war nicht wirklich klar, wer die beteiligten Parteien sind. Klingt es so, als ob Ihnen dieses Zertifikat von einem Dritten gegeben wurde? Stellen Sie eine Verbindung zu ihrem Dienst her oder hosten Sie einen Dienst, zu dem sie eine Verbindung herstellen? Basierend auf "verwendet, um mit einer Drittanbieter-API zu kommunizieren" gehe ich davon aus, dass sie den Dienst hosten und Sie eine Verbindung zu ihnen herstellen.
Ok, wir haben hier einige Probleme. Erstens ist dies kein SSL-Serverzertifikat (kein privater Schlüssel!), Daher würden Sie es nicht auf einem Load Balancer oder in (z. B.) nginx installieren. Stattdessen handelt es sich um ein CA-Zertifikat, mit dem andere Zertifikate signiert werden können. "Private" Zertifizierungsstellen werden üblicherweise verwendet, um "interne" Zertifikate zu generieren, denen Dritte nicht vertrauen müssen. Ich habe den folgenden Befehl ausgeführt, um das Zertifikat anzuzeigen (nachdem ich es als 'odd.cert' gespeichert habe):
openssl x509 -in odd.cert -noout -text
Im Inneren sehe ich, dass dies ein selbstsigniertes CA-Zertifikat ist , belegt durch diese speziellen Felder:
Emittent: CN = *. stg.autobrain.com
Betreff: CN = *. Stg.autobrain.com
X509v3-Erweiterungen:
Grundlegende Einschränkungen für X509v3:
CA: WAHR
Ich könnte mich hier irren, aber es sieht so aus, als hätte jemand versucht, sein eigenes selbstsigniertes Platzhalterzertifikat für * .stg.autobrain.com auszustellen, stolperte jedoch und stellte stattdessen ein vollständiges CA-Zertifikat aus. Vielleicht wird dieses Zertifikat dann verwendet, um ein "echtes" Platzhalterzertifikat zu signieren, wahrscheinlich mit demselben Namen?
Wenn sie Dienste für die breite Öffentlichkeit verfügbar machen, sollten sie auf jeden Fall a verwenden Eine echte Zertifizierungsstelle kann dies tun, da das Vertrauen in eine Zertifizierungsstelle eines Drittanbieters einige sehr reale Sicherheitsrisiken für Sie mit sich bringt, da jeder, der Zugriff auf den privaten Schlüssel dieser Zertifizierungsstelle hat, ein Zertifikat für praktisch alles ausstellen kann und jedes System, das dieser Zertifizierungsstelle vertraut, jedem vertrauen würde Zertifikat von ihm generiert.
Meine Empfehlung ist, diesen Dritten zurückzudrängen und ihn einfach ein von einer öffentlichen Zertifizierungsstelle signiertes SSL-Zertifikat erwerben zu lassen. Sobald dies erledigt ist, funktioniert SSL einfach ohne zusätzlichen Aufwand.