Let's Encrypt, senprofita atestila aŭtoritato, kiu estas kontrolita de la komunumo kaj provizas atestojn senpage al ĉiuj, anoncis la fruan revokon de proksimume du milionoj da TLS-atestiloj, kio estas ĉirkaŭ 1% de ĉiuj aktivaj atestiloj de ĉi tiu atestadaŭtoritato. La revoko de atestiloj estis komencita pro la identigo de nekonformo al specifpostuloj en la kodo uzata en Let's Encrypt kun la efektivigo de la etendaĵo TLS-ALPN-01 (RFC 7301, Intertraktado pri Aplikaĵo-Tavola Protokolo). La diferenco ŝuldiĝis al la foresto de iuj kontroloj faritaj dum la koneksa intertraktadprocezo bazita sur la ALPN TLS etendaĵo uzita en HTTP/2. Detalaj informoj pri la okazaĵo estos publikigitaj post kiam la revoko de la problemaj atestiloj estos kompletigita.
La 26-an de januaro je 03:48 (MSK) la problemo estis riparita, sed ĉiuj atestiloj kiuj estis emisiitaj per la TLS-ALPN-01-metodo por konfirmo estis deciditaj esti nuligitaj. Revoko de atestiloj komenciĝos la 28-an de januaro je 19:00 (MSK). Ĝis ĉi tiu tempo, uzantoj uzantaj la kontrolan metodon TLS-ALPN-01 estas konsilitaj ĝisdatigi siajn atestojn, alie ili frue estos nuligitaj.
Koncernaj sciigoj pri la bezono ĝisdatigi atestojn estas senditaj retpoŝte. Uzantoj uzantaj la Certbot kaj senhidratigitajn ilojn por akiri atestilon ne estis tuŝitaj de la problemo kiam ili uzis la defaŭltajn agordojn. La metodo TLS-ALPN-01 estas subtenata en la pakaĵoj Caddy, Traefik, apache mod_md kaj autocert. Vi povas kontroli la ĝustecon de viaj atestiloj serĉante identigilojn, seriajn numerojn aŭ domajnojn en la listo de problemaj atestiloj.
Ĉar la ŝanĝoj influas la konduton kiam oni kontrolas uzante la metodon TLS-ALPN-01, ĝisdatigi la klienton ACME aŭ ŝanĝi agordojn (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) eble estos bezonata por daŭrigi labori. La ŝanĝoj inkluzivas la uzon de TLS-versioj ne pli malaltaj ol 1.2 (klientoj ne plu povos uzi TLS 1.1) kaj la ĉesigon de subteno por OID 1.3.6.1.5.5.7.1.30.1, kiu identigas la malnoviĝintan etendon de acmeIdentifier, subtenata nur. en pli fruaj skizoj de la RFC 8737-specifo (dum generado de atestilo, nun Nur OID 1.3.6.1.5.5.7.1.31 estas permesita, kaj klientoj uzantaj OID 1.3.6.1.5.5.7.1.30.1 ne povos akiri atestilon. ).
fonto: opennet.ru