Let's Encrypt, unha autoridade de certificación (CA) sen ánimo de lucro xestionada pola comunidade que ofrece certificados gratuítos a calquera persoa, anunciou a revogación anticipada de aproximadamente dous millóns de certificados TLS, que representan aproximadamente o 1 % de todos os certificados activos emitidos pola CA. A revogación iniciouse debido a un incumprimento dos requisitos de especificación no código de Let's Encrypt que implementa a extensión TLS-ALPN-01 (RFC 7301, Negociación do protocolo de capa de aplicación). O incumprimento debeuse á ausencia de certas comprobacións realizadas durante a negociación da conexión baseadas na extensión ALPN TLS, utilizada en HTTP/2. Publicarase información detallada sobre o incidente unha vez que se complete a revogación dos certificados afectados.
O 26 de xaneiro ás 03:48 AM (MSK), o problema resolveuse, pero todos os certificados emitidos mediante o método de verificación TLS-ALPN-01 foron invalidados. A revogación de certificados comezará o 28 de xaneiro ás 19:00 PM (MSK). Recoméndase aos usuarios que empreguen o método de verificación TLS-ALPN-01 que renoven os seus certificados antes desta hora; se non, serán invalidados antes de tempo.
Enviáronse notificacións por correo electrónico sobre a necesidade de renovar certificados. Os usuarios que usan Certbot e ferramentas deshidratadas para obter certificados con configuracións predeterminadas non se ven afectados polo problema. O método TLS-ALPN-01 é compatible cos paquetes Caddy, Traefik, Apache mod_md e autocert. Podes verificar a validez dos teus certificados buscando identificadores, números de serie ou dominios na lista de certificados problemáticos.
Dado que estes cambios afectan ao comportamento da verificación TLS-ALPN-01, pode ser necesario realizar unha actualización do cliente ACME ou cambios na configuración (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) para continuar funcionando. Os cambios resúmense no uso de versións de TLS non anteriores á 1.2 (os clientes xa non poderán usar TLS 1.1) e a interrupción da compatibilidade con OID 1.3.6.1.5.5.7.1.30.1, que identifica a extensión acmeIdentifier obsoleta que só se admitía nos primeiros borradores da especificación RFC 8737 (ao xerar un certificado, agora só se permite o OID 1.3.6.1.5.5.7.1.31 e os clientes que usan OID 1.3.6.1.5.5.7.1.30.1 non poderán obter un certificado).
Fonte: opennet.ru
