Let's Encrypt, neprofitni autoritet za izdavanje certifikata koji je pod kontrolom zajednice i koji besplatno daje certifikate svima, najavio je prijevremeni opoziv približno dva miliona TLS certifikata, što je oko 1% svih aktivnih certifikata ovog certifikacijskog tijela. Opoziv certifikata je pokrenut zbog identifikacije neusklađenosti sa zahtjevima specifikacije u kodu korištenom u Let's Encrypt uz implementaciju TLS-ALPN-01 ekstenzije (RFC 7301, Application-Layer Protocol Negotiation). Nepodudarnost je nastala zbog odsustva nekih provjera izvršenih tokom procesa pregovaranja o povezivanju na osnovu ALPN TLS ekstenzije koja se koristi u HTTP/2. Detaljne informacije o incidentu bit će objavljene nakon što se završi opoziv problematičnih potvrda.
Dana 26. januara u 03:48 (MSK) problem je otklonjen, ali je odlučeno da se ponište svi certifikati koji su izdati metodom TLS-ALPN-01 za verifikaciju. Opoziv certifikata će početi 28. januara u 19:00 (MSK). Do ovog trenutka, korisnicima koji koriste metodu verifikacije TLS-ALPN-01 se savjetuje da ažuriraju svoje certifikate, inače će oni biti ranije poništeni.
Relevantna obavještenja o potrebi ažuriranja certifikata šalju se e-poštom. Problem nije uticao na korisnike koji koriste Certbot i dehidrirane alate za dobivanje certifikata kada koriste zadane postavke. Metoda TLS-ALPN-01 je podržana u paketima Caddy, Traefik, apache mod_md i autocert. Ispravnost svojih certifikata možete provjeriti traženjem identifikatora, serijskih brojeva ili domena na listi problematičnih certifikata.
Budući da promjene utiču na ponašanje pri provjeravanju pomoću TLS-ALPN-01 metode, možda će biti potrebno ažuriranje ACME klijenta ili promjena postavki (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) za nastavak rada. Promjene uključuju korištenje TLS verzija koje nisu niže od 1.2 (klijenti više neće moći koristiti TLS 1.1) i ukidanje podrške za OID 1.3.6.1.5.5.7.1.30.1, koji identifikuje zastarjelo proširenje acmeIdentifier, samo podržano u ranijim nacrtima specifikacije RFC 8737 (prilikom generisanja sertifikata, sada je dozvoljen samo OID 1.3.6.1.5.5.7.1.31, a klijenti koji koriste OID 1.3.6.1.5.5.7.1.30.1 neće moći da dobiju sertifikat ).
izvor: opennet.ru