Некамерцыйны які сведчыць цэнтр Let's Encrypt, кантраляваны супольнасцю і які прадстаўляе сертыфікаты бязвыплатна ўсім жадаючым, абвясціў аб датэрміновым водгуку каля двух мільёнаў TLS-сертыфікатаў, што складае каля 1% ад усіх актыўных сертыфікатаў дадзенага які сведчыць цэнтра. Водгук сертыфікатаў ініцыяваны з-за выяўленні неадпаведнасці патрабаванням спецыфікацыі ў ужывальным у Let's Encrypt кодзе з рэалізацыяй пашырэння TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Неадпаведнасць была злучана з адсутнасцю некаторых праверак, выкананых падчас узгаднення злучэнняў на базе TLS-пашырэння ALPN, ужывальнага ў HTTP/2. Дэталёвая інфармацыя аб інцыдэнце будзе апублікавана пасля завяршэння водгуку праблемных сертыфікатаў.
26 студзеня ў 03:48 (MSK) праблема была ўхіленая, але ўсе сертыфікаты, пры выдачы якіх для верыфікацыі выкарыстоўваўся метад TLS-ALPN-01, вырашана прызнаць несапраўднымі. Водгук сертыфікатаў пачнецца 28 студзеня а 19:00 (MSK). Да гэтага часу карыстальнікам, якія выкарыстоўваюць метад праверкі TLS-ALPN-01, рэкамендуецца паспець абнавіць свае сертыфікаты, інакш яны датэрмінова будуць прызнаны несапраўднымі.
Адпаведныя апавяшчэнні аб неабходнасці абнаўлення сертыфікатаў адпраўленыя на email. Карыстальнікаў, якія ўжываюць для атрымання сертыфіката інструментары Certbot і dehydrated, пры выкарыстанні налад па змаўчанні праблема не закранула. Метад TLS-ALPN-01 падтрымліваецца ў пакетах Caddy, Traefik, apache mod_md і autocert. Праверыць карэктнасць сваіх сертыфікатаў можна праз пошук ідэнтыфікатараў, серыйных нумароў ці даменаў у спісе праблемных сертыфікатаў.
Бо змены закранаюць паводзіны пры праверцы метадам TLS-ALPN-01, для працягу працы можа патрабавацца абнаўленне ACME-кліента ці змена налад (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Змены зводзяцца да выкарыстання версій TLS не ніжэй 1.2 (кліенты зараз не змогуць выкарыстоўваць TLS 1.1) і спыненню падтрымкі OID 1.3.6.1.5.5.7.1.30.1, які ідэнтыфікуе састарэлае пашырэнне acmeIdentifier, падтрымоўванае толькі ў ранніх чарнавіках8737 дапускаецца толькі OID 1.3.6.1.5.5.7.1.31, а кліенты выкарыстоўваюць OID 1.3.6.1.5.5.7.1.30.1 не змогуць атрымаць сертыфікат).
Крыніца: opennet.ru