Let's Encrypt, eine gemeinnützige Zertifizierungsstelle, die von der Community kontrolliert wird und jedem kostenlos Zertifikate zur Verfügung stellt, kündigte die vorzeitige Sperrung von etwa zwei Millionen TLS-Zertifikaten an, was etwa 1 % aller aktiven Zertifikate dieser Zertifizierungsstelle entspricht. Der Widerruf von Zertifikaten wurde eingeleitet, weil bei der Implementierung der TLS-ALPN-01-Erweiterung (RFC 7301, Application-Layer Protocol Negotiation) festgestellt wurde, dass der in Let's Encrypt verwendete Code nicht den Spezifikationsanforderungen entspricht. Die Diskrepanz war auf das Fehlen einiger Prüfungen zurückzuführen, die während des Verbindungsaushandlungsprozesses basierend auf der in HTTP/2 verwendeten ALPN-TLS-Erweiterung durchgeführt wurden. Detaillierte Informationen zum Vorfall werden nach Abschluss der Sperrung der problematischen Zertifikate veröffentlicht.
Am 26. Januar um 03:48 Uhr (MSK) wurde das Problem behoben, aber alle Zertifikate, die mit der TLS-ALPN-01-Methode zur Verifizierung ausgestellt wurden, wurden für ungültig erklärt. Der Widerruf der Zertifikate beginnt am 28. Januar um 19:00 Uhr (MSK). Bis zu diesem Zeitpunkt wird Benutzern, die die Verifizierungsmethode TLS-ALPN-01 verwenden, empfohlen, ihre Zertifikate zu aktualisieren, da sie andernfalls vorzeitig ungültig werden.
Benachrichtigungen über die notwendige Zertifikatserneuerung wurden per E-Mail versendet. Nutzer, die Certbot und die Dehydrated-Tools zur Zertifikatsbeschaffung mit Standardeinstellungen verwenden, sind von diesem Problem nicht betroffen. Die TLS-ALPN-01-Methode wird von den Paketen Caddy, Traefik, Apache mod_md und autocert unterstützt. Sie können die Gültigkeit Ihrer Zertifikate überprüfen, indem Sie nach Kennungen, Seriennummern oder … suchen. domenov in der Liste der problematischen Zertifikate.
Da sich die Änderungen auf das Verhalten bei der Prüfung mit der TLS-ALPN-01-Methode auswirken, ist möglicherweise eine Aktualisierung des ACME-Clients oder eine Änderung der Einstellungen (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) erforderlich, um weiterhin arbeiten zu können. Zu den Änderungen gehören die Verwendung von TLS-Versionen nicht niedriger als 1.2 (Clients können TLS 1.1 nicht mehr verwenden) und die Einstellung der Unterstützung für OID 1.3.6.1.5.5.7.1.30.1, das die veraltete acmeIdentifier-Erweiterung identifiziert und nur noch unterstützt wird in früheren Entwürfen der RFC 8737-Spezifikation (beim Generieren eines Zertifikats ist jetzt nur OID 1.3.6.1.5.5.7.1.31 zulässig, und Clients, die OID 1.3.6.1.5.5.7.1.30.1 verwenden, können kein Zertifikat erhalten ).
Source: opennet.ru
