Yhteisön hallitsema voittoa tavoittelematon ja kaikille maksutta varmenteita tarjoava Let's Encrypt ilmoitti peruuttavansa ennenaikaisesti noin kaksi miljoonaa TLS-varmennetta, mikä on noin 1 % tämän varmentajan kaikista aktiivisista varmenteista. Varmenteiden peruuttaminen aloitettiin, koska Let’s Encryptissä käytetyssä koodissa havaittiin spesifikaatiovaatimusten noudattamatta jättäminen TLS-ALPN-01-laajennuksen (RFC 7301, Application-Layer Protocol Negotiation) toteutuksen yhteydessä. Ero johtui siitä, ettei HTTP/2:ssa käytettyyn ALPN TLS -laajennukseen perustuvien yhteysneuvotteluprosessin aikana tehty joitakin tarkistuksia. Tarkemmat tiedot tapahtumasta julkaistaan, kun ongelmallisten varmenteiden peruuttaminen on suoritettu.
26. tammikuuta kello 03:48 (MSK) ongelma korjattiin, mutta kaikki TLS-ALPN-01-menetelmällä varmentamiseen myönnetyt varmenteet päätettiin mitätöidä. Varmenteiden peruuttaminen alkaa 28. tammikuuta klo 19:00 (MSK). Tähän asti TLS-ALPN-01-vahvistusmenetelmää käyttäviä käyttäjiä kehotetaan päivittämään varmenteensa, muuten ne mitätöidään ennenaikaisesti.
Ilmoitukset varmenteiden uusimistarpeesta on lähetetty sähköpostitse. Ongelma ei koske käyttäjiä, jotka käyttävät Certbotia ja dehydratoituja työkaluja varmenteiden hankkimiseen oletusasetuksilla. TLS-ALPN-01-menetelmää tuetaan Caddy-, Traefik-, Apache mod_md- ja autocert-paketeissa. Voit tarkistaa varmenteiden voimassaolon hakemalla tunnisteita, sarjanumeroita tai domenov ongelmallisten sertifikaattien luettelossa.
Koska muutokset vaikuttavat toimintaan TLS-ALPN-01-menetelmällä tarkistettaessa, ACME-asiakasohjelman päivittäminen tai asetusten muuttaminen (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) saattaa edellyttää työn jatkamista. Muutokset sisältävät vähintään 1.2:n TLS-versioiden käytön (asiakkaat eivät voi enää käyttää TLS 1.1:tä) ja OID:n 1.3.6.1.5.5.7.1.30.1 käytöstä poistamisen, joka tunnistaa vanhentuneen acmeIdentifier-laajennuksen, jota tuetaan vain aikaisemmissa luonnokset RFC 8737 -spesifikaatiosta (varmennetta luotaessa vain OID 1.3.6.1.5.5.7.1.31 sallitaan, eivätkä asiakkaat, jotka käyttävät OID 1.3.6.1.5.5.7.1.30.1, voi hankkia varmennetta).
Lähde: opennet.ru
