Η Let's Encrypt, μια μη κερδοσκοπική αρχή έκδοσης πιστοποιητικών που ελέγχεται από την κοινότητα και παρέχει δωρεάν πιστοποιητικά σε όποιον τα επιθυμεί, ανακοίνωσε την πρόωρη ανάκληση περίπου δύο εκατομμυρίων πιστοποιητικών TLS, που αντιστοιχεί περίπου στο 1% όλων των ενεργών πιστοποιητικών αυτής της αρχής έκδοσης πιστοποιητικών. Η ανάκληση πιστοποιητικών ξεκίνησε λόγω της ανίχνευσης μη συμμόρφωσης με τις απαιτήσεις προδιαγραφών στον κώδικα που χρησιμοποιείται στο Let's Encrypt με την υλοποίηση της επέκτασης TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Η μη συμμόρφωση οφειλόταν στην απουσία ορισμένων ελέγχων που πραγματοποιήθηκαν κατά τη διαπραγμάτευση συνδέσεων με βάση την επέκταση ALPN TLS που χρησιμοποιείται στο HTTP/2. Λεπτομερείς πληροφορίες σχετικά με το περιστατικό θα δημοσιευτούν μετά την ολοκλήρωση της ανάκλησης των προβληματικών πιστοποιητικών.
Στις 26 Ιανουαρίου στις 03:48 (MSK) το πρόβλημα διορθώθηκε, αλλά όλα τα πιστοποιητικά που εκδόθηκαν με τη μέθοδο επαλήθευσης TLS-ALPN-01 αποφασίστηκε να ακυρωθούν. Η ανάκληση πιστοποιητικών θα ξεκινήσει στις 28 Ιανουαρίου στις 19:00 (MSK). Πριν από αυτήν την ώρα, οι χρήστες που χρησιμοποιούν τη μέθοδο επαλήθευσης TLS-ALPN-01 καλούνται να ενημερώσουν τα πιστοποιητικά τους, διαφορετικά θα ακυρωθούν πρόωρα.
Έχουν σταλεί ειδοποιήσεις σχετικά με την ανάγκη ανανέωσης πιστοποιητικών μέσω email. Οι χρήστες που χρησιμοποιούν το Certbot και τα εργαλεία dehydrated για την απόκτηση πιστοποιητικών με προεπιλεγμένες ρυθμίσεις δεν επηρεάζονται από το πρόβλημα. Η μέθοδος TLS-ALPN-01 υποστηρίζεται στα πακέτα Caddy, Traefik, Apache mod_md και autocert. Μπορείτε να επαληθεύσετε την εγκυρότητα των πιστοποιητικών σας αναζητώντας αναγνωριστικά, σειριακούς αριθμούς ή ντομέν στη λίστα των προβληματικών πιστοποιητικών.
Δεδομένου ότι οι αλλαγές επηρεάζουν τη συμπεριφορά κατά την επαλήθευση με τη μέθοδο TLS-ALPN-01, ενδέχεται να απαιτείται ενημέρωση του προγράμματος-πελάτη ACME ή αλλαγές στη διαμόρφωση (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) για να συνεχιστεί η λειτουργία. Οι αλλαγές συνοψίζονται στη χρήση εκδόσεων TLS όχι παλαιότερες από 1.2 (οι πελάτες δεν θα μπορούν πλέον να χρησιμοποιούν το TLS 1.1) και στη διακοπή της υποστήριξης για το OID 1.3.6.1.5.5.7.1.30.1, το οποίο προσδιορίζει την παρωχημένη επέκταση acmeIdentifier που υποστηρίζεται μόνο σε πρώιμα σχέδια της προδιαγραφής RFC 8737 (κατά τη δημιουργία ενός πιστοποιητικού, επιτρέπεται πλέον μόνο το OID 1.3.6.1.5.5.7.1.31 και οι πελάτες που χρησιμοποιούν το OID 1.3.6.1.5.5.7.1.30.1 δεν θα μπορούν να λάβουν πιστοποιητικό).
Πηγή: opennet.ru
