A Let's Encrypt, egy közösségi üzemeltetésű, nonprofit tanúsítványkibocsátó hatóság (CA), amely ingyenes tanúsítványokat biztosít bárki számára, bejelentette körülbelül kétmillió TLS-tanúsítvány idő előtti visszavonását, ami a CA által kibocsátott összes aktív tanúsítvány körülbelül 1%-át teszi ki. A visszavonást a Let's Encrypt TLS-ALPN-01 kiterjesztést (RFC 7301, Application-Layer Protocol Negotiation) megvalósító kódjának specifikációs követelményeinek való meg nem felelés miatt kezdeményezték. A meg nem felelés oka az volt, hogy a HTTP/2-ben használt ALPN TLS kiterjesztés alapján a kapcsolati tárgyalás során bizonyos ellenőrzéseket nem végeztek el. Az incidensről részletes információkat az érintett tanúsítványok visszavonásának befejezése után tesznek közzé.
Január 26-án, hajnali 03:48-kor (MSK) a problémát megoldották, de a TLS-ALPN-01 ellenőrzési módszerrel kiállított összes tanúsítványt érvénytelenítették. A tanúsítványok visszavonása január 28-án, este 19:00-kor (MSK) kezdődik. A TLS-ALPN-01 ellenőrzési módszert használó felhasználóknak azt tanácsoljuk, hogy újítsák meg tanúsítványaikat ezen időpont előtt, ellenkező esetben azok idő előtt érvénytelenné válnak.
A tanúsítványok megújításának szükségességéről e-mailben értesítést küldtünk. Azokat a felhasználókat, akik a Certbotot és a dehidratált eszközöket használják a tanúsítványok alapértelmezett beállításokkal történő beszerzéséhez, a probléma nem érinti. A TLS-ALPN-01 metódust a Caddy, Traefik, Apache mod_md és autocert csomagok támogatják. A tanúsítványok érvényességét azonosítók, sorozatszámok vagy más hasonlók keresésével ellenőrizheti. domainek a problémás tanúsítványok listáján.
Mivel ezek a változások befolyásolják a TLS-ALPN-01 ellenőrzés viselkedését, a további működéshez ACME kliens frissítésre vagy konfigurációs módosításokra lehet szükség (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). A változások lényegében a legalább 1.2-es TLS-verziók használatára vezethetők vissza (a kliensek a továbbiakban nem használhatják a TLS 1.1-et), valamint az 1.3.6.1.5.5.7.1.30.1 OID támogatásának megszüntetésére, amely az elavult, csak az RFC 8737 specifikáció korai tervezeteiben támogatott acmeIdentifier kiterjesztést azonosítja (tanúsítvány generálásakor mostantól csak az 1.3.6.1.5.5.7.1.31 OID engedélyezett, és az 1.3.6.1.5.5.7.1.30.1 OID-t használó kliensek nem tudnak tanúsítványt beszerezni).
Forrás: opennet.ru
