ProHoster > Blog > internetske vijesti > Let's Encrypt opoziva 2M certifikate zbog problema s implementacijom TLS-ALPN-01

Let's Encrypt opoziva 2M certifikate zbog problema s implementacijom TLS-ALPN-01

Let's Encrypt, neprofitna organizacija za izdavanje certifikata (CA) kojom upravlja zajednica i koja svima pruža besplatne certifikate, objavila je prijevremeni opoziv otprilike dva milijuna TLS certifikata, što predstavlja otprilike 1% svih aktivnih certifikata koje je izdala CA. Opoziv je pokrenut zbog neusklađenosti sa zahtjevima specifikacija u kodu Let's Encrypta koji implementira proširenje TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Neusklađenost je nastala zbog nedostatka određenih provjera provedenih tijekom pregovora o vezi na temelju ALPN TLS proširenja, koje se koristi u HTTP/2. Detaljne informacije o incidentu bit će objavljene nakon što je opoziv pogođenih certifikata dovršen.

Problem je riješen 26. siječnja u 03:48 (MSK), ali su svi certifikati izdani metodom provjere TLS-ALPN-01 poništeni. Opoziv certifikata započet će 28. siječnja u 19:00 (MSK). Korisnicima koji koriste metodu provjere TLS-ALPN-01 savjetuje se da obnove svoje certifikate prije tog vremena, inače će prijevremeno biti poništeni.

Obavijesti o potrebi obnavljanja certifikata poslane su putem e-pošte. Korisnici koji koriste Certbot i dehidrirane alate za dobivanje certifikata s zadanim postavkama nisu pogođeni problemom. Metoda TLS-ALPN-01 podržana je u paketima Caddy, Traefik, Apache mod_md i autocert. Valjanost svojih certifikata možete provjeriti pretraživanjem identifikatora, serijskih brojeva ili domene na popisu problematičnih certifikata.

Budući da ove promjene utječu na ponašanje TLS-ALPN-01 provjere, za nastavak rada možda će biti potrebno ažuriranje ACME klijenta ili promjene konfiguracije (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Promjene se svode na korištenje TLS verzija ne nižih od 1.2 (klijenti više neće moći koristiti TLS 1.1) i prekid podrške za OID 1.3.6.1.5.5.7.1.30.1, koji identificira zastarjelo proširenje acmeIdentifier podržano samo u ranim nacrtima specifikacije RFC 8737 (prilikom generiranja certifikata sada je dopušten samo OID 1.3.6.1.5.5.7.1.31, a klijenti koji koriste OID 1.3.6.1.5.5.7.1.30.1 neće moći dobiti certifikat).

Izvor: opennet.ru

Kupite pouzdan hosting za stranice s DDoS zaštitom, VPS VDS poslužiteljima 🔥 Kupite pouzdan web hosting sa DDoS zaštitom, VPS VDS servere | ProHoster