Let's Encrypt ، مرجع مصدق غير تجاري يتحكم فيه المجتمع يوفر شهادات مجانية لأي شخص ، قد أعلن عن الإلغاء المبكر لحوالي مليوني شهادة TLS ، وهو ما يمثل حوالي 1٪ من جميع الشهادات النشطة لهذا المرجع المصدق. بدأ إلغاء الشهادات بسبب عدم الامتثال لمتطلبات المواصفات في الكود المستخدم في Let's Encrypt مع تنفيذ امتداد TLS-ALPN-01 (RFC 7301 ، تفاوض بروتوكول طبقة التطبيق). يرجع الاختلاف إلى عدم وجود بعض عمليات التحقق التي تم إجراؤها في عملية تفاوض الاتصال بناءً على امتداد ALPN TLS المستخدم في HTTP / 2. سيتم نشر معلومات مفصلة عن الحادث بعد الانتهاء من إلغاء الشهادات الإشكالية.
في 26 يناير الساعة 03:48 (MSK) ، تم إصلاح المشكلة ، ولكن تم إلغاء صلاحية جميع الشهادات التي تم إصدارها باستخدام طريقة TLS-ALPN-01 للتحقق. سيبدأ إبطال الشهادة في 28 يناير الساعة 19:00 (MSK). حتى ذلك الوقت ، يُنصح المستخدمون الذين يستخدمون طريقة التحقق TLS-ALPN-01 بإتاحة الوقت لتجديد شهاداتهم ، وإلا فسيتم إبطالهم في وقت مبكر.
تم إرسال الإخطارات المقابلة حول الحاجة إلى تجديد الشهادات عبر البريد الإلكتروني. لم يتأثر المستخدمون الذين يستخدمون Certbot والأدوات المجففة للحصول على شهادة بالمشكلة عند استخدام الإعدادات الافتراضية. يتم دعم طريقة TLS-ALPN-01 في حزم Caddy و Traefik و apache mod_md و autocert. يمكنك التحقق من صحة شهاداتك من خلال البحث عن المعرفات أو الأرقام التسلسلية أو المجالات في قائمة الشهادات التي بها مشكلات.
نظرًا لأن التغييرات تؤثر على سلوك التحقق TLS-ALPN-01 ، فقد تحتاج إلى تحديث عميل ACME أو تغيير الإعدادات (Caddy ، bitnami / bn-cert ، autocert ، apache mod_md ، Traefik) لمواصلة العمل. يتم تقليل التغييرات لاستخدام إصدارات TLS التي لا تقل عن 1.2 (لن يتمكن العملاء بعد الآن من استخدام TLS 1.1) وإيقاف دعم OID 1.3.6.1.5.5.7.1.30.1 ، والذي يحدد امتداد acmeIdentifier القديم ، مدعومًا فقط في المسودات المبكرة لمواصفات RFC 8737 (عند إنشاء شهادة ، يُسمح الآن فقط OID 1.3.6.1.5.5.7.1.31 ، ولن يتمكن العملاء الذين يستخدمون OID 1.3.6.1.5.5.7.1.30.1 من الحصول عليها شهادة).
المصدر: opennet.ru