Ang Let's Encrypt, usa ka non-profit nga awtoridad sa sertipiko nga kontrolado sa komunidad ug naghatag mga sertipiko nga walaβy bayad sa tanan, nagpahibalo sa sayo nga pagbawi sa gibana-bana nga duha ka milyon nga mga sertipiko sa TLS, nga hapit 1% sa tanan nga aktibo nga mga sertipiko sa kini nga awtoridad sa sertipikasyon. Ang pagbawi sa mga sertipiko gisugdan tungod sa pag-ila sa dili pagsunod sa mga kinahanglanon sa espesipikasyon sa code nga gigamit sa Let's Encrypt uban ang pagpatuman sa extension sa TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Ang kalainan tungod sa pagkawala sa pipila ka mga pagsusi nga gihimo sa panahon sa proseso sa negosasyon sa koneksyon base sa ALPN TLS extension nga gigamit sa HTTP/2. Ang detalyado nga kasayuran bahin sa insidente imantala pagkahuman mahuman ang pagbawi sa mga problema nga sertipiko.
Sa Enero 26 sa 03:48 (MSK) ang problema naayo, apan ang tanan nga mga sertipiko nga gi-isyu gamit ang TLS-ALPN-01 nga pamaagi alang sa pag-verify nakahukom nga dili balido. Ang pagbakwi sa mga sertipiko magsugod sa Enero 28 sa 19:00 (MSK). Hangtud niining panahona, ang mga tiggamit nga naggamit sa TLS-ALPN-01 nga pamaagi sa pag-verify gitambagan nga i-update ang ilang mga sertipiko, kung dili sila ma-invalidate sa sayo.
Ang mga may kalabotan nga pahibalo bahin sa panginahanglan sa pag-update sa mga sertipiko gipadala pinaagi sa email. Ang mga tiggamit nga naggamit sa Certbot ug dehydrated nga mga himan aron makakuha usa ka sertipiko wala maapektuhan sa isyu kung gigamit ang default nga mga setting. Ang TLS-ALPN-01 nga pamaagi gisuportahan sa Caddy, Traefik, apache mod_md ug autocert nga mga pakete. Mahimo nimong susihon ang pagkahusto sa imong mga sertipiko pinaagi sa pagpangita sa mga identifier, serial number o domain sa lista sa mga problema nga sertipiko.
Tungod kay ang mga pagbag-o makaapekto sa pamatasan kung magsusi gamit ang TLS-ALPN-01 nga pamaagi, ang pag-update sa kliyente sa ACME o pagbag-o sa mga setting (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) mahimong gikinahanglan aron magpadayon sa pagtrabaho. Ang mga pagbag-o naglakip sa paggamit sa mga bersyon sa TLS nga dili ubos sa 1.2 (dili na magamit sa mga kliyente ang TLS 1.1) ug ang paghunong sa suporta alang sa OID 1.3.6.1.5.5.7.1.30.1, nga nagpaila sa dili na magamit nga extension sa acmeIdentifier, gisuportahan lamang sa naunang mga draft sa RFC 8737 specification (sa paghimo og certificate, karon OID 1.3.6.1.5.5.7.1.31 lang ang gitugotan, ug ang mga kliyente nga naggamit og OID 1.3.6.1.5.5.7.1.30.1 dili na makakuha og certificate ).
Source: opennet.ru