Cyhoeddodd Let's Encrypt, awdurdod tystysgrif di-elw sy'n cael ei reoli gan y gymuned ac sy'n darparu tystysgrifau am ddim i bawb, ddirymiad cynnar tua dwy filiwn o dystysgrifau TLS, sef tua 1% o holl dystysgrifau gweithredol yr awdurdod ardystio hwn. Dechreuwyd dirymu tystysgrifau oherwydd nodi diffyg cydymffurfio Γ’ gofynion y fanyleb yn y cod a ddefnyddir yn Let's Encrypt gyda gweithredu'r estyniad TLS-ALPN-01 (RFC 7301, Negodi Protocol Haen Cais). Roedd yr anghysondeb oherwydd absenoldeb rhai gwiriadau a gyflawnwyd yn ystod y broses negodi cysylltiad yn seiliedig ar yr estyniad ALPN TLS a ddefnyddiwyd yn HTTP/2. Cyhoeddir gwybodaeth fanwl am y digwyddiad ar Γ΄l i'r broses o ddirymu'r tystysgrifau problematig gael ei chwblhau.
Ar Ionawr 26 am 03:48 (MSK) roedd y broblem wedi'i datrys, ond penderfynwyd bod yr holl dystysgrifau a roddwyd gan ddefnyddio'r dull dilysu TLS-ALPN-01 i'w hannilysu. Bydd dirymu tystysgrifau yn dechrau ar Ionawr 28 am 19:00 (MSK). Tan yr amser hwn, cynghorir defnyddwyr sy'n defnyddio dull dilysu TLS-ALPN-01 i ddiweddaru eu tystysgrifau, fel arall byddant yn cael eu hannilysu'n gynnar.
Anfonir hysbysiadau perthnasol am yr angen i ddiweddaru tystysgrifau drwy e-bost. Nid oedd defnyddwyr sy'n defnyddio'r Certbot a'r offer dadhydradedig i gael tystysgrif wedi'u heffeithio gan y mater wrth ddefnyddio'r gosodiadau diofyn. Cefnogir y dull TLS-ALPN-01 yn y pecynnau Caddy, Traefik, apache mod_md a autocert. Gallwch wirio cywirdeb eich tystysgrifau trwy chwilio am ddynodwyr, rhifau cyfresol neu barthau yn y rhestr o dystysgrifau problemus.
Gan fod y newidiadau'n effeithio ar yr ymddygiad wrth wirio gan ddefnyddio'r dull TLS-ALPN-01, efallai y bydd angen diweddaru'r cleient ACME neu newid gosodiadau (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) i barhau i weithio. Mae'r newidiadau'n cynnwys defnyddio fersiynau TLS heb fod yn is na 1.2 (ni fydd cleientiaid bellach yn gallu defnyddio TLS 1.1) a dibrisiant OID 1.3.6.1.5.5.7.1.30.1, sy'n nodi'r estyniad acmeIdentifier darfodedig, a gefnogir yn gynharach yn unig drafftiau o fanyleb RFC 8737 (wrth gynhyrchu tystysgrif, nawr Dim ond OID 1.3.6.1.5.5.7.1.31 a ganiateir, ac ni fydd cleientiaid sy'n defnyddio OID 1.3.6.1.5.5.7.1.30.1 yn gallu cael tystysgrif).
Ffynhonnell: opennet.ru