Let's Encrypt, 'n nie-winsgewende sertifikaatowerheid wat deur die gemeenskap beheer word en sertifikate gratis aan almal verskaf, het die vroeë herroeping van ongeveer twee miljoen TLS-sertifikate aangekondig, wat ongeveer 1% van alle aktiewe sertifikate van hierdie sertifiseringsowerheid is. Die herroeping van sertifikate is begin as gevolg van die identifikasie van nie-nakoming van spesifikasievereistes in die kode wat in Let's Encrypt gebruik is met die implementering van die TLS-ALPN-01-uitbreiding (RFC 7301, Application-Layer Protocol Negotiation). Die teenstrydigheid was te wyte aan die afwesigheid van sekere kontroles wat uitgevoer is tydens die verbindingsonderhandelingsproses gebaseer op die ALPN TLS-uitbreiding wat in HTTP/2 gebruik word. Gedetailleerde inligting oor die voorval sal gepubliseer word nadat die herroeping van die problematiese sertifikate voltooi is.
Op 26 Januarie om 03:48 (MSK) is die probleem opgelos, maar alle sertifikate wat met die TLS-ALPN-01-metode vir verifikasie uitgereik is, is besluit om ongeldig te wees. Herroeping van sertifikate sal op 28 Januarie om 19:00 (MSK) begin. Tot hierdie tyd word gebruikers wat die TLS-ALPN-01-verifikasiemetode gebruik, aangeraai om hul sertifikate op te dateer, anders sal hulle vroegtydig ongeldig gemaak word.
Kennisgewings oor die noodsaaklikheid om sertifikate te hernu, is per e-pos gestuur. Gebruikers wat die Certbot en gedehidreerde gereedskap gebruik om sertifikate met standaardinstellings te bekom, word nie deur die probleem geraak nie. Die TLS-ALPN-01-metode word ondersteun in die Caddy-, Traefik-, Apache mod_md- en autocert-pakkette. Jy kan die geldigheid van jou sertifikate verifieer deur te soek na identifiseerders, reeksnommers of ... доменов in die lys van problematiese sertifikate.
Aangesien die veranderinge die gedrag beïnvloed wanneer nagegaan word met die TLS-ALPN-01-metode, kan die opdatering van die ACME-kliënt of die verandering van instellings (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) nodig wees om voort te gaan werk. Die veranderinge sluit in die gebruik van TLS-weergawes wat nie laer as 1.2 is nie (kliënte sal nie meer TLS 1.1 kan gebruik nie) en die afskaffing van OID 1.3.6.1.5.5.7.1.30.1, wat die verouderde acmeIdentifier-uitbreiding identifiseer, wat slegs vroeër ondersteun is konsepte van die RFC 8737-spesifikasie (wanneer 'n sertifikaat gegenereer word, word nou slegs OID 1.3.6.1.5.5.7.1.31 toegelaat, en kliënte wat OID 1.3.6.1.5.5.7.1.30.1 gebruik, sal nie 'n sertifikaat kan verkry nie).
Bron: opennet.ru
