Let's Encrypt, in non-profit sertifikaatautoriteit dy't wurdt kontroleare troch de mienskip en sertifikaten fergees leveret oan elkenien, kundige de betide ynlûking fan sawat twa miljoen TLS-sertifikaten oan, dat is sawat 1% fan alle aktive sertifikaten fan dizze sertifisearingsautoriteit. It ynlûken fan sertifikaten waard inisjearre fanwegen de identifikaasje fan net-neilibjen fan spesifikaasjeeasken yn 'e koade brûkt yn Let's Encrypt mei de ymplemintaasje fan' e TLS-ALPN-01-útwreiding (RFC 7301, Application-Layer Protocol Negotiation). De diskrepânsje wie te tankjen oan it ûntbrekken fan guon kontrôles útfierd tidens it ferbiningsûnderhannelingsproses basearre op de ALPN TLS-útwreiding brûkt yn HTTP/2. Detaillearre ynformaasje oer it ynsidint sil wurde publisearre nei it ynlûken fan 'e problematyske sertifikaten is foltôge.
Op 26 jannewaris om 03:48 (MSK) wie it probleem fêst, mar alle sertifikaten dy't waarden útjûn mei de TLS-ALPN-01 metoade foar ferifikaasje, waarden besletten om ûnjildich te wurden. It ynlûken fan sertifikaten sil begjinne op 28 jannewaris om 19:00 (MSK). Oant dizze tiid wurde brûkers dy't de TLS-ALPN-01-ferifikaasjemetoade brûke, advisearre har sertifikaten te aktualisearjen, oars wurde se betiid ûnjildich makke.
Relevante notifikaasjes oer de needsaak om sertifikaten te aktualisearjen wurde per e-post ferstjoerd. Brûkers dy't de Certbot en dehydratisearre ark brûke om in sertifikaat te krijen, waarden net beynfloede troch it probleem by it brûken fan de standertynstellingen. De metoade TLS-ALPN-01 wurdt stipe yn 'e Caddy, Traefik, apache mod_md en autocert-pakketten. Jo kinne de krektens fan jo sertifikaten kontrolearje troch te sykjen nei identifiers, serialnûmers of domeinen yn 'e list mei problematyske sertifikaten.
Sûnt de wizigingen beynfloedzje it gedrach by it kontrolearjen mei de TLS-ALPN-01-metoade, kin it bywurkjen fan de ACME-kliïnt of feroarjen fan ynstellings (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) ferplicht wêze om troch te wurkjen. De wizigingen omfetsje it gebrûk fan TLS-ferzjes net leger as 1.2 (kliïnten sille TLS 1.1 net mear kinne brûke) en de ôfskriuwing fan OID 1.3.6.1.5.5.7.1.30.1, dy't de ferâldere acmeIdentifier-útwreiding identifisearret, allinich stipe yn earder ûntwerpen fan 'e RFC 8737-spesifikaasje (by it generearjen fan in sertifikaat, no is allinich OID 1.3.6.1.5.5.7.1.31 tastien, en kliïnten dy't OID 1.3.6.1.5.5.7.1.30.1 brûke sille gjin sertifikaat kinne krije).
Boarne: opennet.ru