Let's Encrypt-ek, komunitateak kontrolatzen duen eta guztientzako ziurtagiriak doan eskaintzen dituen irabazi-asmorik gabeko ziurtagiri-agintaritzak, gutxi gorabehera bi milioi TLS ziurtagirien baliogabetze goiztiarra iragarri zuen, hau da, ziurtapen-agintaritzaren ziurtagiri aktibo guztien %1 inguru. Ziurtagirien baliogabetzea Let's Encrypt-en erabilitako kodean zehaztapen-eskakizunak ez betetzea identifikatu zelako hasi zen TLS-ALPN-01 luzapenaren ezarpenarekin (RFC 7301, Application-Layer Protocol Negotiation). Desadostasuna HTTP/2-n erabilitako ALPN TLS luzapenean oinarritutako konexio-negoziazio prozesuan egindako egiaztapen batzuen faltagatik gertatu zen. Gertakariari buruzko informazio zehatza ziurtagiri arazotsuak baliogabetu ondoren argitaratuko da.
Urtarrilaren 26an 03:48an (MSK) arazoa konpondu zen, baina egiaztatzeko TLS-ALPN-01 metodoa erabiliz emandako ziurtagiri guztiak baliogabetzea erabaki zen. Ziurtagirien baliogabetzea urtarrilaren 28an hasiko da, 19:00etan (MSK). Ordura arte, TLS-ALPN-01 egiaztapen-metodoa erabiltzen duten erabiltzaileei beren ziurtagiriak eguneratzeko gomendatzen zaie, bestela lehenago baliogabetuko dira.
Ziurtagiriak berritzeko beharrari buruzko jakinarazpenak posta elektronikoz bidali dira. Certbot eta tresna deshidratatuak erabiltzen dituzten erabiltzaileak ez dira arazo honen eraginpean egongo lehenetsitako ezarpenekin ziurtagiriak lortzeko. TLS-ALPN-01 metodoa Caddy, Traefik, Apache mod_md eta autocert paketeetan onartzen da. Zure ziurtagirien baliozkotasuna egiaztatu dezakezu identifikatzaileak, serie-zenbakiak edo bilatuz. доменов arazo-ziurtagirien zerrendan.
Aldaketek TLS-ALPN-01 metodoa erabiliz egiaztatzean portaeran eragiten dutenez, ACME bezeroa eguneratzea edo ezarpenak aldatzea (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) behar da lanean jarraitzeko. Aldaketen artean, 1.2 baino txikiagoa ez den TLS bertsioak erabiltzea (bezeroek ezin izango dute TLS 1.1 erabili) eta OID 1.3.6.1.5.5.7.1.30.1 zaharkitua, zeinak zaharkitutako acmeIdentifier luzapena identifikatzen duena, lehenago bakarrik onartzen duena. RFC 8737 zehaztapenaren zirriborroak (ziurtagiri bat sortzerakoan, orain OID 1.3.6.1.5.5.7.1.31 bakarrik onartzen da, eta OID 1.3.6.1.5.5.7.1.30.1 erabiltzen duten bezeroek ezin izango dute ziurtagiririk lortu).
Iturria: opennet.ru
