Kogukonna kontrollitav ja kõigile tasuta sertifikaate pakkuv mittetulunduslik sertifitseerimisasutus Let's Encrypt teatas ligikaudu kahe miljoni TLS-i sertifikaadi ennetähtaegsest tühistamisest, mis moodustab umbes 1% kõigist selle sertifitseerimisasutuse aktiivsetest sertifikaatidest. Sertifikaatide kehtetuks tunnistamine algatati seoses laienduse TLS-ALPN-01 juurutamisega (RFC 7301, Application-Layer Protocol Negotiation) Let’s Encryptis kasutatud koodi spetsifikatsiooninõuetele mittevastavuse tuvastamisega. Lahknevus tulenes HTTP/2-s kasutatava ALPN TLS-laienduse põhjal ühenduse läbirääkimisprotsessi käigus tehtud mõningate kontrollide puudumisest. Täpsem info juhtunu kohta avaldatakse pärast probleemsete sertifikaatide kehtetuks tunnistamise lõpetamist.
26. jaanuaril kell 03:48 (MSK) probleem lahendati, kuid kõik TLS-ALPN-01 meetodil kontrollimiseks välja antud sertifikaadid otsustati kehtetuks tunnistada. Sertifikaatide kehtetuks tunnistamine algab 28. jaanuaril kell 19:00 (MSK). Kuni selle ajani soovitatakse TLS-ALPN-01 kinnitusmeetodit kasutavatel kasutajatel oma sertifikaate värskendada, vastasel juhul tühistatakse need varakult.
Asjakohased teated sertifikaatide uuendamise vajaduse kohta saadetakse meili teel. Sertifikaadi hankimiseks Certboti ja dehüdreeritud tööriistu kasutavaid kasutajaid vaikesätete kasutamisel probleem ei mõjutanud. TLS-ALPN-01 meetodit toetavad Caddy, Traefik, apache mod_md ja autocert paketid. Oma sertifikaatide õigsust saate kontrollida probleemsete sertifikaatide loendist identifikaatorite, seerianumbrite või domeenide otsimisel.
Kuna muudatused mõjutavad käitumist TLS-ALPN-01 meetodil kontrollimisel, võib töö jätkamiseks olla vajalik ACME kliendi värskendamine või sätete muutmine (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Muudatused hõlmavad TLS-i versioonide kasutamist, mis ei ole vanemad kui 1.2 (kliendid ei saa enam TLS-i 1.1 kasutada) ja OID 1.3.6.1.5.5.7.1.30.1, mis tuvastab vananenud laienduse acmeIdentifier, aegumist, mida toetati ainult varasemates versioonides. RFC 8737 spetsifikatsiooni mustandid (sertifikaadi loomisel on nüüd lubatud ainult OID 1.3.6.1.5.5.7.1.31 ja OID 1.3.6.1.5.5.7.1.30.1 kasutavad kliendid ei saa sertifikaati hankida).
Allikas: opennet.ru