Let's Encrypt, 'n nie-winsgewende sertifikaatowerheid wat deur die gemeenskap beheer word en sertifikate gratis aan almal verskaf, het die vroeë herroeping van ongeveer twee miljoen TLS-sertifikate aangekondig, wat ongeveer 1% van alle aktiewe sertifikate van hierdie sertifiseringsowerheid is. Die herroeping van sertifikate is begin as gevolg van die identifikasie van nie-nakoming van spesifikasievereistes in die kode wat in Let's Encrypt gebruik is met die implementering van die TLS-ALPN-01-uitbreiding (RFC 7301, Application-Layer Protocol Negotiation). Die teenstrydigheid was te wyte aan die afwesigheid van sekere kontroles wat uitgevoer is tydens die verbindingsonderhandelingsproses gebaseer op die ALPN TLS-uitbreiding wat in HTTP/2 gebruik word. Gedetailleerde inligting oor die voorval sal gepubliseer word nadat die herroeping van die problematiese sertifikate voltooi is.
Op 26 Januarie om 03:48 (MSK) is die probleem opgelos, maar alle sertifikate wat met die TLS-ALPN-01-metode vir verifikasie uitgereik is, is besluit om ongeldig te wees. Herroeping van sertifikate sal op 28 Januarie om 19:00 (MSK) begin. Tot hierdie tyd word gebruikers wat die TLS-ALPN-01-verifikasiemetode gebruik, aangeraai om hul sertifikate op te dateer, anders sal hulle vroegtydig ongeldig gemaak word.
Relevante kennisgewings oor die behoefte om sertifikate by te werk, word per e-pos gestuur. Gebruikers wat die Certbot en gedehidreerde gereedskap gebruik om 'n sertifikaat te bekom, is nie deur die probleem geraak wanneer hulle die verstekinstellings gebruik nie. Die TLS-ALPN-01-metode word ondersteun in die Caddy-, Traefik-, apache mod_md- en autocert-pakkette. Jy kan die korrektheid van jou sertifikate nagaan deur te soek vir identifiseerders, reeksnommers of domeine in die lys van problematiese sertifikate.
Aangesien die veranderinge die gedrag beïnvloed wanneer nagegaan word met die TLS-ALPN-01-metode, kan die opdatering van die ACME-kliënt of die verandering van instellings (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) nodig wees om voort te gaan werk. Die veranderinge sluit in die gebruik van TLS-weergawes wat nie laer as 1.2 is nie (kliënte sal nie meer TLS 1.1 kan gebruik nie) en die afskaffing van OID 1.3.6.1.5.5.7.1.30.1, wat die verouderde acmeIdentifier-uitbreiding identifiseer, wat slegs vroeër ondersteun is konsepte van die RFC 8737-spesifikasie (wanneer 'n sertifikaat gegenereer word, word nou slegs OID 1.3.6.1.5.5.7.1.31 toegelaat, en kliënte wat OID 1.3.6.1.5.5.7.1.30.1 gebruik, sal nie 'n sertifikaat kan verkry nie).
Bron: opennet.ru