Let's Encrypt-ek, komunitateak kontrolatzen duen eta guztientzako ziurtagiriak doan eskaintzen dituen irabazi-asmorik gabeko ziurtagiri-agintaritzak, gutxi gorabehera bi milioi TLS ziurtagirien baliogabetze goiztiarra iragarri zuen, hau da, ziurtapen-agintaritzaren ziurtagiri aktibo guztien %1 inguru. Ziurtagirien baliogabetzea Let's Encrypt-en erabilitako kodean zehaztapen-eskakizunak ez betetzea identifikatu zelako hasi zen TLS-ALPN-01 luzapenaren ezarpenarekin (RFC 7301, Application-Layer Protocol Negotiation). Desadostasuna HTTP/2-n erabilitako ALPN TLS luzapenean oinarritutako konexio-negoziazio prozesuan egindako egiaztapen batzuen faltagatik gertatu zen. Gertakariari buruzko informazio zehatza ziurtagiri arazotsuak baliogabetu ondoren argitaratuko da.
Urtarrilaren 26an 03:48an (MSK) arazoa konpondu zen, baina egiaztatzeko TLS-ALPN-01 metodoa erabiliz emandako ziurtagiri guztiak baliogabetzea erabaki zen. Ziurtagirien baliogabetzea urtarrilaren 28an hasiko da, 19:00etan (MSK). Ordura arte, TLS-ALPN-01 egiaztapen-metodoa erabiltzen duten erabiltzaileei beren ziurtagiriak eguneratzeko gomendatzen zaie, bestela lehenago baliogabetuko dira.
Ziurtagiriak eguneratu beharrari buruzko jakinarazpen garrantzitsuak posta elektronikoz bidaltzen dira. Ziurtagiria lortzeko Certbot eta deshidratatutako tresnak erabiltzen dituzten erabiltzaileek ez zuten arazoaren eraginik izan ezarpen lehenetsiak erabiltzean. TLS-ALPN-01 metodoa Caddy, Traefik, apache mod_md eta autocert paketeetan onartzen da. Zure ziurtagirien zuzentasuna egiazta dezakezu identifikatzaileak, serie-zenbakiak edo domeinuak ziurtagiri arazotsuen zerrendan bilatuz.
Aldaketek TLS-ALPN-01 metodoa erabiliz egiaztatzean portaeran eragiten dutenez, ACME bezeroa eguneratzea edo ezarpenak aldatzea (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) behar da lanean jarraitzeko. Aldaketen artean, 1.2 baino txikiagoa ez den TLS bertsioak erabiltzea (bezeroek ezin izango dute TLS 1.1 erabili) eta OID 1.3.6.1.5.5.7.1.30.1 zaharkitua, zeinak zaharkitutako acmeIdentifier luzapena identifikatzen duena, lehenago bakarrik onartzen duena. RFC 8737 zehaztapenaren zirriborroak (ziurtagiri bat sortzerakoan, orain OID 1.3.6.1.5.5.7.1.31 bakarrik onartzen da, eta OID 1.3.6.1.5.5.7.1.30.1 erabiltzen duten bezeroek ezin izango dute ziurtagiririk lortu).
Iturria: opennet.ru