ProHoster > Օրագիր > ինտերնետ նորություններ > Եկեք գաղտնագրենք 2M վկայականների չեղարկումը TLS-ALPN-01-ի իրականացման խնդիրների պատճառով

Եկեք գաղտնագրենք 2M վկայականների չեղարկումը TLS-ALPN-01-ի իրականացման խնդիրների պատճառով

Let's Encrypt-ը, որը շահույթ չհետապնդող սերտիֆիկատների մարմին է, որը վերահսկվում է համայնքի կողմից և անվճար վկայականներ է տրամադրում բոլորին, հայտարարեց մոտ երկու միլիոն TLS վկայագրերի վաղաժամկետ չեղարկման մասին, որը կազմում է այս սերտիֆիկացման մարմնի բոլոր ակտիվ վկայագրերի մոտ 1%-ը: Վկայագրերի չեղյալ հայտարարումը սկսվել է Let's Encrypt-ում օգտագործված կոդում տեխնիկական պահանջներին չհամապատասխանելու պատճառով TLS-ALPN-01 ընդլայնման ներդրմամբ (RFC 7301, Application-Layer Protocol Negotiation): Անհամապատասխանությունը պայմանավորված էր HTTP/2-ում օգտագործվող ALPN TLS ընդլայնման հիման վրա միացման բանակցային գործընթացի ընթացքում կատարված որոշ ստուգումների բացակայությամբ: Միջադեպի մասին մանրամասն տեղեկություն կհրապարակվի խնդրահարույց վկայականների ուժը կորցրած ճանաչելուց հետո։

Հունվարի 26-ին, ժամը 03:48-ին (MSK) խնդիրը շտկվել է, սակայն բոլոր հավաստագրերը, որոնք տրվել են ստուգման TLS-ALPN-01 մեթոդով, որոշվել են անվավեր ճանաչել: Վկայականների ուժը կորցրած ճանաչելը կսկսվի հունվարի 28-ին, ժամը 19:00-ին (MSK): Մինչև այս պահը TLS-ALPN-01 ստուգման մեթոդն օգտագործող օգտատերերին խորհուրդ է տրվում թարմացնել իրենց վկայականները, հակառակ դեպքում դրանք վաղաժամկետ անվավեր կճանաչվեն:

Վկայականների թարմացման անհրաժեշտության մասին համապատասխան ծանուցումները ուղարկվում են էլ. Վկայագիր ստանալու համար Certbot և ջրազրկված գործիքներ օգտագործող օգտատերերի վրա խնդիրը չի ազդել լռելյայն կարգավորումներն օգտագործելիս: TLS-ALPN-01 մեթոդը աջակցվում է Caddy, Traefik, apache mod_md և autocert փաթեթներում: Դուք կարող եք ստուգել ձեր վկայականների ճշգրտությունը՝ խնդրահարույց վկայագրերի ցանկում փնտրելով նույնացուցիչներ, սերիական համարներ կամ տիրույթներ:

Քանի որ փոփոխություններն ազդում են TLS-ALPN-01 մեթոդի միջոցով ստուգելիս վարքի վրա, ACME հաճախորդի թարմացում կամ կարգավորումների փոփոխություն (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) կարող է պահանջվել շարունակելու աշխատանքը: Փոփոխությունները ներառում են 1.2-ից ոչ ցածր TLS տարբերակների օգտագործումը (հաճախորդներն այլևս չեն կարողանա օգտագործել TLS 1.1-ը) և OID 1.3.6.1.5.5.7.1.30.1-ի հնացումը, որը նույնացնում է հնացած acmeIdentifier ընդլայնումը, որն աջակցվում է միայն ավելի վաղ: RFC 8737 բնութագրի նախագծերը (սերտիֆիկատ ստեղծելիս այժմ թույլատրվում է միայն OID 1.3.6.1.5.5.7.1.31, իսկ OID 1.3.6.1.5.5.7.1.30.1 օգտագործող հաճախորդները չեն կարողանա վկայական ստանալ):

Source: opennet.ru

Добавить комментарий