Cyhoeddodd Let's Encrypt, awdurdod tystysgrifau (CA) dielw a redir gan y gymuned sy'n darparu tystysgrifau am ddim i unrhyw un, ddirymu tua dwy filiwn o dystysgrifau TLS yn gynnar, sy'n cynrychioli tua 1% o'r holl dystysgrifau gweithredol a gyhoeddwyd gan y CA. Cychwynnwyd y dirymiad oherwydd diffyg cydymffurfiaeth â gofynion manyleb yng nghod Let's Encrypt sy'n gweithredu'r estyniad TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Roedd yr anghydffurfiaeth oherwydd absenoldeb gwiriadau penodol a gyflawnwyd yn ystod negodi cysylltiad yn seiliedig ar yr estyniad ALPN TLS, a ddefnyddir yn HTTP/2. Cyhoeddir gwybodaeth fanwl am y digwyddiad ar ôl i ddirymu'r tystysgrifau yr effeithiwyd arnynt gael ei gwblhau.
Ar Ionawr 26 am 03:48 AM (MSK), cafodd y broblem ei datrys, ond cafodd yr holl dystysgrifau a gyhoeddwyd gan ddefnyddio'r dull dilysu TLS-ALPN-01 eu gwneud yn annilys. Bydd dirymiad tystysgrifau yn dechrau ar Ionawr 28 am 19:00 PM (MSK). Cynghorir defnyddwyr sy'n defnyddio'r dull dilysu TLS-ALPN-01 i adnewyddu eu tystysgrifau cyn yr amser hwn, fel arall byddant yn cael eu gwneud yn annilys yn gynnar.
Mae hysbysiadau am yr angen i adnewyddu tystysgrifau wedi'u hanfon drwy e-bost. Nid yw defnyddwyr sy'n defnyddio'r Certbot a'r offer dadhydradedig i gael tystysgrifau gyda gosodiadau diofyn yn cael eu heffeithio gan y broblem. Cefnogir y dull TLS-ALPN-01 yn y pecynnau Caddy, Traefik, Apache mod_md, ac autocert. Gallwch wirio dilysrwydd eich tystysgrifau drwy chwilio am ddynodwyr, rhifau cyfresol, neu domenov yn y rhestr o dystysgrifau problemus.
Gan fod y newidiadau hyn yn effeithio ar ymddygiad dilysu TLS-ALPN-01, efallai y bydd angen diweddariad i'r cleient ACME neu newidiadau ffurfweddiad (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) i barhau i weithio. Mae'r newidiadau'n ymwneud â defnyddio fersiynau TLS nad ydynt yn is na 1.2 (ni fydd cleientiaid yn gallu defnyddio TLS 1.1 mwyach) a rhoi'r gorau i gefnogi OID 1.3.6.1.5.5.7.1.30.1, sy'n nodi'r estyniad acmeIdentifier hen ffasiwn a gefnogir mewn drafftiau cynnar o fanyleb RFC 8737 yn unig (wrth gynhyrchu tystysgrif, dim ond OID 1.3.6.1.5.5.7.1.31 sy'n cael ei ganiatáu bellach, ac ni fydd cleientiaid sy'n defnyddio OID 1.3.6.1.5.5.7.1.30.1 yn gallu cael tystysgrif).
Ffynhonnell: opennet.ru
