Let's Encrypt، یک مرجع صدور گواهینامه غیرانتفاعی که توسط جامعه کنترل می شود و گواهینامه ها را به صورت رایگان در اختیار همه قرار می دهد، از لغو زودهنگام تقریباً دو میلیون گواهینامه TLS خبر داد که حدود 1٪ از کل گواهینامه های فعال این مرجع صدور گواهینامه است. ابطال گواهی ها به دلیل شناسایی عدم انطباق با الزامات مشخصات در کد مورد استفاده در Let's Encrypt با اجرای پسوند TLS-ALPN-01 (RFC 7301، Application-Layer Protocol Negotiation) آغاز شد. این اختلاف به دلیل عدم انجام برخی بررسیها در طول فرآیند مذاکره اتصال بر اساس پسوند ALPN TLS مورد استفاده در HTTP/2 بود. اطلاعات دقیق حادثه پس از تکمیل ابطال گواهی های مشکل دار منتشر خواهد شد.
در 26 ژانویه در ساعت 03:48 (MSK) مشکل برطرف شد، اما تمام گواهیهایی که با استفاده از روش TLS-ALPN-01 برای تأیید صادر شده بودند، باطل شدند. ابطال گواهینامه ها از 28 ژانویه ساعت 19:00 (MSK) آغاز می شود. تا این زمان، به کاربرانی که از روش راستیآزمایی TLS-ALPN-01 استفاده میکنند، توصیه میشود گواهیهای خود را بهروزرسانی کنند، در غیر این صورت زودتر باطل میشوند.
اعلان های مربوطه در مورد نیاز به به روز رسانی گواهی ها از طریق ایمیل ارسال می شود. کاربرانی که از Certbot و ابزارهای کم آب برای دریافت گواهی استفاده می کنند، هنگام استفاده از تنظیمات پیش فرض تحت تأثیر این مشکل قرار نگرفتند. روش TLS-ALPN-01 در بسته های Caddy، Traefik، apache mod_md و autocert پشتیبانی می شود. می توانید با جستجوی شناسه ها، شماره سریال یا دامنه ها در لیست گواهی های مشکل دار، صحت گواهی های خود را بررسی کنید.
از آنجایی که تغییرات هنگام بررسی با استفاده از روش TLS-ALPN-01 بر رفتار تأثیر می گذارد، ممکن است برای ادامه کار به به روز رسانی کلاینت ACME یا تغییر تنظیمات (Caddy، bitnami/bn-cert، autocert، apache mod_md، Traefik) نیاز باشد. تغییرات شامل استفاده از نسخههای TLS کمتر از 1.2 (مشتریان دیگر نمیتوانند از TLS 1.1 استفاده کنند) و منسوخ شدن OID 1.3.6.1.5.5.7.1.30.1، که پسوند منسوخ acmeIdentifier را شناسایی میکند، که فقط در گذشته پشتیبانی میشد. پیش نویس مشخصات RFC 8737 (هنگام تولید گواهی، اکنون فقط OID 1.3.6.1.5.5.7.1.31 مجاز است و مشتریانی که از OID 1.3.6.1.5.5.7.1.30.1 استفاده می کنند نمی توانند گواهی دریافت کنند).
منبع: opennet.ru