Let's Encrypt ، مرجع مصدق غير تجاري يتحكم فيه المجتمع يوفر شهادات مجانية لأي شخص ، قد أعلن عن الإلغاء المبكر لحوالي مليوني شهادة TLS ، وهو ما يمثل حوالي 1٪ من جميع الشهادات النشطة لهذا المرجع المصدق. بدأ إلغاء الشهادات بسبب عدم الامتثال لمتطلبات المواصفات في الكود المستخدم في Let's Encrypt مع تنفيذ امتداد TLS-ALPN-01 (RFC 7301 ، تفاوض بروتوكول طبقة التطبيق). يرجع الاختلاف إلى عدم وجود بعض عمليات التحقق التي تم إجراؤها في عملية تفاوض الاتصال بناءً على امتداد ALPN TLS المستخدم في HTTP / 2. سيتم نشر معلومات مفصلة عن الحادث بعد الانتهاء من إلغاء الشهادات الإشكالية.
في 26 يناير الساعة 03:48 (MSK) ، تم إصلاح المشكلة ، ولكن تم إلغاء صلاحية جميع الشهادات التي تم إصدارها باستخدام طريقة TLS-ALPN-01 للتحقق. سيبدأ إبطال الشهادة في 28 يناير الساعة 19:00 (MSK). حتى ذلك الوقت ، يُنصح المستخدمون الذين يستخدمون طريقة التحقق TLS-ALPN-01 بإتاحة الوقت لتجديد شهاداتهم ، وإلا فسيتم إبطالهم في وقت مبكر.
تم إرسال إشعارات عبر البريد الإلكتروني بشأن ضرورة تجديد الشهادات. لا يتأثر بهذه المشكلة المستخدمون الذين يستخدمون أدوات Certbot وdehydrated للحصول على شهادات بالإعدادات الافتراضية. يدعم كل من Caddy وTraefik وApache mod_md وautocert طريقة TLS-ALPN-01. يمكنك التحقق من صحة شهاداتك بالبحث عن المعرفات أو الأرقام التسلسلية أو المجال في قائمة الشهادات الإشكالية.
نظرًا لأن التغييرات تؤثر على سلوك التحقق باستخدام طريقة TLS-ALPN-01، فقد يلزم تحديث عميل ACME أو تغييرات في إعداداته (Caddy، bitnami/bn-cert، autocert، apache mod_md، Traefik) لمواصلة العمل. وتتمثل هذه التغييرات في استخدام إصدارات TLS لا تقل عن 1.2 (لن يتمكن العملاء من استخدام TLS 1.1) وإيقاف دعم OID 1.3.6.1.5.5.7.1.30.1، الذي يحدد امتداد acmeIdentifier القديم المدعوم فقط في المسودات الأولى لمواصفات RFC 8737 (عند إنشاء شهادة، يُسمح الآن فقط بـ OID 1.3.6.1.5.5.7.1.31، ولن يتمكن العملاء الذين يستخدمون OID 1.3.6.1.5.5.7.1.30.1 من الحصول على شهادة).
المصدر: opennet.ru
