Yhteisön hallitsema voittoa tavoittelematon ja kaikille maksutta varmenteita tarjoava Let's Encrypt ilmoitti peruuttavansa ennenaikaisesti noin kaksi miljoonaa TLS-varmennetta, mikä on noin 1 % tämän varmentajan kaikista aktiivisista varmenteista. Varmenteiden peruuttaminen aloitettiin, koska Let’s Encryptissä käytetyssä koodissa havaittiin spesifikaatiovaatimusten noudattamatta jättäminen TLS-ALPN-01-laajennuksen (RFC 7301, Application-Layer Protocol Negotiation) toteutuksen yhteydessä. Ero johtui siitä, ettei HTTP/2:ssa käytettyyn ALPN TLS -laajennukseen perustuvien yhteysneuvotteluprosessin aikana tehty joitakin tarkistuksia. Tarkemmat tiedot tapahtumasta julkaistaan, kun ongelmallisten varmenteiden peruuttaminen on suoritettu.
26. tammikuuta kello 03:48 (MSK) ongelma korjattiin, mutta kaikki TLS-ALPN-01-menetelmällä varmentamiseen myönnetyt varmenteet päätettiin mitätöidä. Varmenteiden peruuttaminen alkaa 28. tammikuuta klo 19:00 (MSK). Tähän asti TLS-ALPN-01-vahvistusmenetelmää käyttäviä käyttäjiä kehotetaan päivittämään varmenteensa, muuten ne mitätöidään ennenaikaisesti.
Asiaankuuluvat ilmoitukset varmenteiden päivitystarpeista lähetetään sähköpostitse. Ongelma ei vaikuttanut käyttäjiin, jotka käyttivät Certbotia ja dehydratoituja työkaluja varmenteen hankkimiseen, kun he käyttivät oletusasetuksia. TLS-ALPN-01-menetelmää tuetaan Caddy-, Traefik-, apache mod_md- ja autocert-paketeissa. Voit tarkistaa varmentiesi oikeellisuuden etsimällä tunnisteita, sarjanumeroita tai verkkotunnuksia ongelmallisten sertifikaattien luettelosta.
Koska muutokset vaikuttavat toimintaan TLS-ALPN-01-menetelmällä tarkistettaessa, ACME-asiakasohjelman päivittäminen tai asetusten muuttaminen (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) saattaa edellyttää työn jatkamista. Muutokset sisältävät vähintään 1.2:n TLS-versioiden käytön (asiakkaat eivät voi enää käyttää TLS 1.1:tä) ja OID:n 1.3.6.1.5.5.7.1.30.1 käytöstä poistamisen, joka tunnistaa vanhentuneen acmeIdentifier-laajennuksen, jota tuetaan vain aikaisemmissa luonnokset RFC 8737 -spesifikaatiosta (varmennetta luotaessa vain OID 1.3.6.1.5.5.7.1.31 sallitaan, eivätkä asiakkaat, jotka käyttävät OID 1.3.6.1.5.5.7.1.30.1, voi hankkia varmennetta).
Lähde: opennet.ru