Sertifikatları hər kəsə pulsuz təqdim edən qeyri-kommersiya, icma tərəfindən idarə olunan CA olan Let's Encrypt iki milyon TLS sertifikatının erkən ləğvini elan etdi ki, bu da bu CA-nın bütün aktiv sertifikatlarının təxminən 1%-ni təşkil edir. Sertifikatların ləğvi TLS-ALPN-01 genişlənməsinin (RFC 7301, Tətbiq-Layer Protokolu Danışıqları) həyata keçirilməsi ilə Let's Encrypt-də istifadə olunan kodda spesifikasiyanın tələblərinə uyğun gəlməməsi səbəbindən başlanmışdır. Uyğunsuzluq HTTP/2-də istifadə edilən ALPN TLS genişləndirilməsi əsasında əlaqə danışıqları prosesində aparılan bəzi yoxlamaların olmaması ilə əlaqədar idi. Hadisə ilə bağlı ətraflı məlumat problemli sertifikatların ləğvi başa çatdıqdan sonra dərc olunacaq.
Yanvarın 26-da saat 03:48-də (MSK) problem aradan qaldırıldı, lakin yoxlama üçün TLS-ALPN-01 metodundan istifadə etməklə verilmiş bütün sertifikatların etibarsız sayılmasına qərar verildi. Sertifikatın ləğvi 28 yanvar saat 19:00-da (MSK) başlayacaq. Həmin vaxta qədər TLS-ALPN-01 yoxlama metodundan istifadə edən istifadəçilərə sertifikatlarını yeniləmək üçün vaxtlarının olması tövsiyə olunur, əks halda onlar vaxtından əvvəl etibarsız sayılacaqlar.
Sertifikatların yenilənməsinin zəruriliyi ilə bağlı müvafiq bildirişlər e-poçt vasitəsilə göndərilib. Sertifikat əldə etmək üçün Certbot və susuzlaşdırılmış alətlərdən istifadə edən istifadəçilər standart parametrlərdən istifadə edərkən problemdən təsirlənməmişdir. TLS-ALPN-01 metodu Caddy, Traefik, apache mod_md və autocert paketlərində dəstəklənir. Problemli sertifikatlar siyahısında identifikatorlar, seriya nömrələri və ya domenləri axtararaq sertifikatlarınızın düzgünlüyünü yoxlaya bilərsiniz.
Dəyişikliklər TLS-ALPN-01 doğrulama davranışına təsir etdiyi üçün işə davam etmək üçün ACME müştərisini yeniləməli və ya parametrləri (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) dəyişməli ola bilərsiniz. Dəyişikliklər 1.2-dən aşağı olmayan TLS versiyalarının istifadəsinə (müştərilər artıq TLS 1.1-dən istifadə edə bilməyəcək) və köhnəlmiş acmeIdentifier genişləndirilməsini müəyyən edən OID 1.3.6.1.5.5.7.1.30.1 dəstəyinin köhnəlməsinə endirilib. yalnız RFC 8737 spesifikasiyasının ilkin qaralamalarında dəstəklənir (sertifikat yaradan zaman indi yalnız OID 1.3.6.1.5.5.7.1.31 icazə verilir və OID 1.3.6.1.5.5.7.1.30.1-dən istifadə edən müştərilər əldə edə bilməyəcəklər. sertifikat).
Mənbə: opennet.ru