Let's Encrypt ΠΎΡ‚Π·Ρ‹Π²Π°Π΅Ρ‚ 2 ΠΌΠ»Π½ сСртификатов ΠΈΠ·-Π·Π° ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ Π² Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ TLS-ALPN-01

НСкоммСрчСский ΡƒΠ΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€ΡΡŽΡ‰ΠΈΠΉ Ρ†Π΅Π½Ρ‚Ρ€ Let’s Encrypt, ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΡ‹ΠΉ сообщСством ΠΈ ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠΉ сСртификаты Π±Π΅Π·Π²ΠΎΠ·ΠΌΠ΅Π·Π΄Π½ΠΎ всСм ΠΆΠ΅Π»Π°ΡŽΡ‰ΠΈΠΌ, объявил ΠΎ досрочном ΠΎΡ‚Π·Ρ‹Π²Π΅ ΠΎΠΊΠΎΠ»ΠΎ Π΄Π²ΡƒΡ… ΠΌΠΈΠ»Π»ΠΈΠΎΠ½ΠΎΠ² TLS-сСртификатов, Ρ‡Ρ‚ΠΎ составляСт ΠΎΠΊΠΎΠ»ΠΎ 1% ΠΎΡ‚ всСх Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Ρ… сСртификатов Π΄Π°Π½Π½ΠΎΠ³ΠΎ ΡƒΠ΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€ΡΡŽΡ‰Π΅Π³ΠΎ Ρ†Π΅Π½Ρ‚Ρ€Π°. ΠžΡ‚Π·Ρ‹Π² сСртификатов ΠΈΠ½ΠΈΡ†ΠΈΠΈΡ€ΠΎΠ²Π°Π½ ΠΈΠ·-Π·Π° выявлСния нСсоотвСтствия трСбованиям спСцификации Π² примСняСмом Π² Let’s Encrypt ΠΊΠΎΠ΄Π΅ с Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠ΅ΠΉ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΡ TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). НСсоотвСтствиС Π±Ρ‹Π»ΠΎ связано с отсутствиСм Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΎΠΊ, выполняСмых Π² процСссС согласования соСдинСний Π½Π° Π±Π°Π·Π΅ TLS-Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΡ ALPN, примСняСмого Π² HTTP/2. Π”Π΅Ρ‚Π°Π»ΡŒΠ½Π°Ρ информация ΠΎΠ± ΠΈΠ½Ρ†ΠΈΠ΄Π΅Π½Ρ‚Π΅ Π±ΡƒΠ΄Π΅Ρ‚ ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π° послС Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ ΠΎΡ‚Π·Ρ‹Π²Π° ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½Ρ‹Ρ… сСртификатов.

26 января Π² 03:48 (MSK) ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π±Ρ‹Π»Π° устранСна, Π½ΠΎ всС сСртификаты, ΠΏΡ€ΠΈ Π²Ρ‹Π΄Π°Ρ‡Π΅ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… для Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ использовался ΠΌΠ΅Ρ‚ΠΎΠ΄ TLS-ALPN-01, Ρ€Π΅ΡˆΠ΅Π½ΠΎ ΠΏΡ€ΠΈΠ·Π½Π°Ρ‚ΡŒ Π½Π΅Π΄Π΅ΠΉΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌΠΈ. ΠžΡ‚Π·Ρ‹Π² сСртификатов начнётся 28 января Π² 19:00 (MSK). Π”ΠΎ этого Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠΌ ΠΌΠ΅Ρ‚ΠΎΠ΄ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ TLS-ALPN-01, рСкомСндуСтся ΡƒΡΠΏΠ΅Ρ‚ΡŒ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ свои сСртификаты, ΠΈΠ½Π°Ρ‡Π΅ ΠΎΠ½ΠΈ досрочно Π±ΡƒΠ΄ΡƒΡ‚ ΠΏΡ€ΠΈΠ·Π½Π°Π½Ρ‹ Π½Π΅Π΄Π΅ΠΉΡΡ‚Π²ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌΠΈ.

Π‘ΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ увСдомлСния ΠΎ нСобходимости обновлСния сСртификатов ΠΎΡ‚ΠΏΡ€Π°Π²Π»Π΅Π½Ρ‹ Π½Π° email. ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ, ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‰ΠΈΡ… для получСния сСртификата инструмСнтарии Certbot ΠΈ dehydrated, ΠΏΡ€ΠΈ использовании настроСк ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π½Π΅ Π·Π°Ρ‚Ρ€ΠΎΠ½ΡƒΠ»Π°. ΠœΠ΅Ρ‚ΠΎΠ΄ TLS-ALPN-01 поддСрТиваСтся Π² ΠΏΠ°ΠΊΠ΅Ρ‚Π°Ρ… Caddy, Traefik, apache mod_md ΠΈ autocert. ΠŸΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΡΡ‚ΡŒ своих сСртификатов ΠΌΠΎΠΆΠ½ΠΎ Ρ‡Π΅Ρ€Π΅Π· поиск ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ‚ΠΎΡ€ΠΎΠ², сСрийных Π½ΠΎΠΌΠ΅Ρ€ΠΎΠ² ΠΈΠ»ΠΈ Π΄ΠΎΠΌΠ΅Π½ΠΎΠ² Π² спискС ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½Ρ‹Ρ… сСртификатов.

Π’Π°ΠΊ ΠΊΠ°ΠΊ измСнСния Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‚ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ ΠΏΡ€ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ΅ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠΌ TLS-ALPN-01, для продолТСния Ρ€Π°Π±ΠΎΡ‚Ρ‹ ΠΌΠΎΠΆΠ΅Ρ‚ Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Ρ‚ΡŒΡΡ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ ACME-ΠΊΠ»ΠΈΠ΅Π½Ρ‚Π° ΠΈΠ»ΠΈ ΠΈΠ·ΠΌΠ΅Π½Π΅Π½ΠΈΠ΅ настроСк (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). ИзмСнСния сводятся ΠΊ использованию вСрсий TLS Π½Π΅ Π½ΠΈΠΆΠ΅ 1.2 (ΠΊΠ»ΠΈΠ΅Π½Ρ‚Ρ‹ Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ Π½Π΅ смогут ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ TLS 1.1) ΠΈ ΠΏΡ€Π΅ΠΊΡ€Π°Ρ‰Π΅Π½ΠΈΡŽ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ OID 1.3.6.1.5.5.7.1.30.1, ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΡƒΡŽΡ‰Π΅Π³ΠΎ ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΠ΅Π΅ Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠ΅ acmeIdentifier, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅ΠΌΠΎΠ΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π² Ρ€Π°Π½Π½ΠΈΡ… Ρ‡Π΅Ρ€Π½ΠΎΠ²ΠΈΠΊΠ°Ρ… спСцификации RFC 8737 (ΠΏΡ€ΠΈ Ρ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠΈ сСртификата Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ допускаСтся Ρ‚ΠΎΠ»ΡŒΠΊΠΎ OID 1.3.6.1.5.5.7.1.31, Π° ΠΊΠ»ΠΈΠ΅Π½Ρ‚Ρ‹ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠ΅ OID 1.3.6.1.5.5.7.1.30.1 Π½Π΅ смогут ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ сСртификат).

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru