A közösség által ellenőrzött, mindenki számára ingyenesen biztosító Let's Encrypt non-profit tanúsító hatóság mintegy kétmillió TLS-tanúsítvány korai visszavonását jelentette be, ami a hitelesítés-szolgáltató összes aktív tanúsítványának körülbelül 1%-a. A tanúsítványok visszavonását a TLS-ALPN-01 kiterjesztés (RFC 7301, Application-Layer Protocol Negotiation) megvalósításával a Let’s Encrypt-ben használt kódban a specifikációs követelményeknek való meg nem felelés azonosítása miatt kezdeményeztük. Az eltérés oka az volt, hogy a HTTP/2-ben használt ALPN TLS kiterjesztésen alapuló kapcsolat-egyeztetési folyamat során nem végeztek néhány ellenőrzést. Az esetről részletes tájékoztatást a problémás tanúsítványok visszavonásának befejezése után teszünk közzé.
Január 26-án, 03:48-kor (MSK) a problémát kijavították, de az összes olyan tanúsítvány érvénytelenítése mellett döntött, amelyet a TLS-ALPN-01 módszerrel adtak ki ellenőrzés céljából. A tanúsítványok visszavonása január 28-án 19:00 órakor kezdődik (MSK). Addig a TLS-ALPN-01 ellenőrzési módszert használó felhasználóknak azt tanácsoljuk, hogy frissítsék tanúsítványaikat, ellenkező esetben korai érvénytelenítésre kerülnek.
A tanúsítványok frissítésének szükségességéről szóló értesítéseket e-mailben küldjük el. A Certbotot és a dehidratált eszközöket használó felhasználókat a tanúsítvány megszerzéséhez nem érintette a probléma az alapértelmezett beállítások használatakor. A TLS-ALPN-01 metódust a Caddy, Traefik, apache mod_md és autocert csomagok támogatják. A tanúsítványok helyességét úgy ellenőrizheti, hogy a problémás tanúsítványok listájában azonosítókra, sorozatszámokra vagy tartományokra keres.
Mivel a változások befolyásolják a TLS-ALPN-01 módszerrel végzett ellenőrzés viselkedését, a munka folytatásához szükség lehet az ACME kliens frissítésére vagy a beállítások módosítására (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). A változtatások közé tartozik az 1.2-nél nem alacsonyabb TLS-verziók használata (a kliensek már nem használhatják a TLS 1.1-et), valamint az elavult acmeIdentifier kiterjesztést azonosító 1.3.6.1.5.5.7.1.30.1 OID elavulása, amely csak a korábbi verziókban támogatott. az RFC 8737 specifikáció vázlatai (tanúsítvány generálásakor most csak az OID 1.3.6.1.5.5.7.1.31 engedélyezett, és az OID 1.3.6.1.5.5.7.1.30.1-et használó kliensek nem tudnak tanúsítványt szerezni).
Forrás: opennet.ru