Let's Encrypt, eine gemeinnützige Zertifizierungsstelle, die von der Community kontrolliert wird und jedem kostenlos Zertifikate zur Verfügung stellt, kündigte die vorzeitige Sperrung von etwa zwei Millionen TLS-Zertifikaten an, was etwa 1 % aller aktiven Zertifikate dieser Zertifizierungsstelle entspricht. Der Widerruf von Zertifikaten wurde eingeleitet, weil bei der Implementierung der TLS-ALPN-01-Erweiterung (RFC 7301, Application-Layer Protocol Negotiation) festgestellt wurde, dass der in Let's Encrypt verwendete Code nicht den Spezifikationsanforderungen entspricht. Die Diskrepanz war auf das Fehlen einiger Prüfungen zurückzuführen, die während des Verbindungsaushandlungsprozesses basierend auf der in HTTP/2 verwendeten ALPN-TLS-Erweiterung durchgeführt wurden. Detaillierte Informationen zum Vorfall werden nach Abschluss der Sperrung der problematischen Zertifikate veröffentlicht.
Am 26. Januar um 03:48 Uhr (MSK) wurde das Problem behoben, aber alle Zertifikate, die mit der TLS-ALPN-01-Methode zur Verifizierung ausgestellt wurden, wurden für ungültig erklärt. Der Widerruf der Zertifikate beginnt am 28. Januar um 19:00 Uhr (MSK). Bis zu diesem Zeitpunkt wird Benutzern, die die Verifizierungsmethode TLS-ALPN-01 verwenden, empfohlen, ihre Zertifikate zu aktualisieren, da sie andernfalls vorzeitig ungültig werden.
Relevante Benachrichtigungen über die Notwendigkeit einer Zertifikatsaktualisierung werden per E-Mail verschickt. Benutzer, die Certbot und dehydrierte Tools verwenden, um ein Zertifikat zu erhalten, waren von dem Problem bei Verwendung der Standardeinstellungen nicht betroffen. Die TLS-ALPN-01-Methode wird in den Paketen Caddy, Traefik, Apache mod_md und autocert unterstützt. Sie können die Richtigkeit Ihrer Zertifikate überprüfen, indem Sie in der Liste der problematischen Zertifikate nach Identifikatoren, Seriennummern oder Domänen suchen.
Da sich die Änderungen auf das Verhalten bei der Prüfung mit der TLS-ALPN-01-Methode auswirken, ist möglicherweise eine Aktualisierung des ACME-Clients oder eine Änderung der Einstellungen (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) erforderlich, um weiterhin arbeiten zu können. Zu den Änderungen gehören die Verwendung von TLS-Versionen nicht niedriger als 1.2 (Clients können TLS 1.1 nicht mehr verwenden) und die Einstellung der Unterstützung für OID 1.3.6.1.5.5.7.1.30.1, das die veraltete acmeIdentifier-Erweiterung identifiziert und nur noch unterstützt wird in früheren Entwürfen der RFC 8737-Spezifikation (beim Generieren eines Zertifikats ist jetzt nur OID 1.3.6.1.5.5.7.1.31 zulässig, und Clients, die OID 1.3.6.1.5.5.7.1.30.1 verwenden, können kein Zertifikat erhalten ).
Source: opennet.ru