Let's Encrypt, mittetulunduslik kogukonna poolt kontrollitav sertifitseerimisasutus, mis pakub tasuta sertifikaate kõigile soovijatele, on teatanud umbes kahe miljoni TLS-sertifikaadi ennetähtaegsest tühistamisest, mis moodustab umbes 1% selle asutuse kõigist aktiivsetest sertifikaatidest. Sertifikaatide tühistamine algatati seetõttu, et Let's Encryptis kasutatavas koodis tuvastati TLS-ALPN-01 laienduse (RFC 7301, rakenduskihi protokolli läbirääkimised) rakendamisel spetsifikatsiooninõuetele mittevastavus. Mittevastavus tulenes mõnede kontrollide puudumisest ühenduste läbirääkimiste ajal, mis põhinevad HTTP/2-s kasutataval ALPN TLS-laiendusel. Üksikasjalik teave intsidendi kohta avaldatakse pärast probleemsete sertifikaatide tühistamise lõpuleviimist.
26. jaanuaril kell 03:48 (MSK) lahendati probleem, kuid kõik TLS-ALPN-01 verifitseerimismeetodi abil väljastatud sertifikaadid otsustati kehtetuks tunnistada. Sertifikaatide kehtetuks tunnistamine algab 28. jaanuaril kell 19:00 (MSK). Enne seda soovitatakse TLS-ALPN-01 verifitseerimismeetodit kasutavatel kasutajatel oma sertifikaadid uuendada, vastasel juhul tühistatakse need enneaegselt.
Sertifikaatide uuendamise vajaduse kohta on teated saadetud e-posti teel. Kasutajaid, kes kasutavad Certboti ja dehüdreeritud tööriistu sertifikaatide hankimiseks vaikesätetega, see probleem ei mõjuta. TLS-ALPN-01 meetodit toetavad Caddy, Traefik, Apache mod_md ja autocert paketid. Sertifikaatide kehtivust saate kontrollida identifikaatorite, seerianumbrite või muu abil. domenov probleemsete sertifikaatide nimekirjas.
Kuna muudatused mõjutavad käitumist TLS-ALPN-01 meetodiga verifitseerimisel, võib töö jätkamiseks olla vajalik ACME kliendi värskendus või konfiguratsioonimuudatused (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Muudatused taanduvad TLS-i versioonide, mis ei ole madalamad kui 1.2, kasutamisele (kliendid ei saa enam TLS 1.1 kasutada) ja OID 1.3.6.1.5.5.7.1.30.1 toe peatamisele, mis identifitseerib vananenud acmeIdentifier laiendust, mida toetati ainult RFC 8737 spetsifikatsiooni varajastes mustandites (sertifikaadi genereerimisel on nüüd lubatud ainult OID 1.3.6.1.5.5.7.1.31 ja OID-d 1.3.6.1.5.5.7.1.30.1 kasutavad kliendid ei saa sertifikaati hankida).
Allikas: opennet.ru
