Let's Encrypt-ը՝ ոչ առևտրային համայնքային վերահսկվող վկայագրման կենտրոնը, որը անվճար վկայագրեր է տրամադրում բոլոր նրանց, ովքեր ցանկանում են դրանք, հայտարարել է մոտ երկու միլիոն TLS վկայագրերի վաղաժամկետ չեղարկման մասին, որը կազմում է այս վկայագրման կենտրոնի բոլոր ակտիվ վկայագրերի մոտ 1%-ը: Վկայագրերի չեղարկումը սկսվել է Let's Encrypt-ում օգտագործված կոդում TLS-ALPN-01 ընդլայնման (RFC 7301, Application-Layer Protocol Negotiation) ներդրմամբ տեխնիկական պահանջներին չհամապատասխանելու հայտնաբերման պատճառով: Անհամապատասխանությունը պայմանավորված էր HTTP/2-ում օգտագործվող ALPN TLS ընդլայնման հիման վրա կապերի բանակցային գործընթացի ընթացքում կատարված որոշ ստուգումների բացակայությամբ: Դեպքի մասին մանրամասն տեղեկատվությունը կհրապարակվի խնդրահարույց վկայագրերի չեղարկման ավարտից հետո:
Հունվարի 26-ին, ժամը 03:48-ին (MSK) խնդիրը լուծվեց, սակայն TLS-ALPN-01 ստուգման մեթոդով տրված բոլոր վկայականները որոշվեց անվավեր ճանաչել: Վկայականների չեղարկումը կսկսվի հունվարի 28-ին, ժամը 19:00-ին (MSK): Մինչ այդ ժամը TLS-ALPN-01 ստուգման մեթոդն օգտագործող օգտատերերին խորհուրդ է տրվում թարմացնել իրենց վկայականները, հակառակ դեպքում դրանք վաղաժամկետ անվավեր կճանաչվեն:
Վկայականների երկարաձգման անհրաժեշտության մասին ծանուցումները ուղարկվել են էլեկտրոնային փոստով: Խնդիրը չի ազդում Certbot-ի և dehydrated գործիքների օգտագործող օգտատերերի վրա՝ լռելյայն կարգավորումներով վկայականներ ստանալու համար: TLS-ALPN-01 մեթոդը աջակցվում է Caddy, Traefik, Apache mod_md և autocert փաթեթներում: Դուք կարող եք ստուգել ձեր վկայականների վավերականությունը՝ որոնելով նույնականացուցիչներ, սերիական համարներ կամ դոմեյններ խնդրահարույց վկայականների ցանկում։
Քանի որ փոփոխությունները ազդում են TLS-ALPN-01 մեթոդով ստուգման ժամանակ վարքագծի վրա, աշխատանքը շարունակելու համար կարող է պահանջվել ACME հաճախորդի թարմացում կամ կոնֆիգուրացիայի փոփոխություններ (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik): Փոփոխությունները հանգում են 1.2-ից ոչ ցածր TLS տարբերակների օգտագործմանը (հաճախորդները այլևս չեն կարողանա օգտագործել TLS 1.1) և OID 1.3.6.1.5.5.7.1.30.1 աջակցության դադարեցմանը, որը նույնականացնում է հնացած acmeIdentifier ընդլայնումը, որը աջակցվում էր միայն RFC 8737 սպեցիֆիկացիայի վաղ նախագծերում (վկայական ստեղծելիս այժմ թույլատրվում է միայն OID 1.3.6.1.5.5.7.1.31-ը, և OID 1.3.6.1.5.5.7.1.30.1 օգտագործող հաճախորդները չեն կարողանա ստանալ վկայական):
Source: opennet.ru
