Let's Encrypt, otoritas sertifikat nirlaba yang dikendalikan oleh komunitas dan memberikan sertifikat gratis kepada semua orang, mengumumkan pencabutan awal sekitar dua juta sertifikat TLS, yaitu sekitar 1% dari seluruh sertifikat aktif otoritas sertifikasi ini. Pencabutan sertifikat dimulai karena identifikasi ketidakpatuhan terhadap persyaratan spesifikasi dalam kode yang digunakan dalam Let's Encrypt dengan implementasi ekstensi TLS-ALPN-01 (RFC 7301, Negosiasi Protokol Lapisan Aplikasi). Perbedaan tersebut disebabkan oleh tidak adanya beberapa pemeriksaan yang dilakukan pada proses negosiasi koneksi berdasarkan ekstensi ALPN TLS yang digunakan pada HTTP/2. Informasi detail mengenai kejadian tersebut akan dipublikasikan setelah pencabutan sertifikat yang bermasalah selesai.
Pada tanggal 26 Januari pukul 03:48 (MSK) masalah telah diperbaiki, namun semua sertifikat yang diterbitkan dengan metode verifikasi TLS-ALPN-01 diputuskan tidak berlaku. Pencabutan sertifikat akan dimulai pada tanggal 28 Januari pukul 19 (MSK). Hingga saat ini, pengguna yang menggunakan metode verifikasi TLS-ALPN-00 disarankan untuk memperbarui sertifikatnya, jika tidak maka sertifikat tersebut akan dibatalkan lebih awal.
Pemberitahuan yang relevan tentang perlunya memperbarui sertifikat dikirim melalui email. Pengguna yang menggunakan Certbot dan alat dehidrasi untuk mendapatkan sertifikat tidak terpengaruh oleh masalah ini saat menggunakan pengaturan default. Metode TLS-ALPN-01 didukung dalam paket Caddy, Traefik, Apache mod_md dan autocert. Anda dapat memeriksa kebenaran sertifikat Anda dengan mencari pengidentifikasi, nomor seri, atau domain di daftar sertifikat yang bermasalah.
Karena perubahan mempengaruhi perilaku saat memeriksa menggunakan metode TLS-ALPN-01, memperbarui klien ACME atau mengubah pengaturan (Caddy, bitnami/bn-cert, autocert, Apache mod_md, Traefik) mungkin diperlukan untuk terus bekerja. Perubahan tersebut mencakup penggunaan versi TLS tidak lebih rendah dari 1.2 (klien tidak lagi dapat menggunakan TLS 1.1) dan penghentian dukungan untuk OID 1.3.6.1.5.5.7.1.30.1, yang mengidentifikasi ekstensi acmeIdentifier yang sudah usang, hanya didukung dalam draf spesifikasi RFC 8737 sebelumnya (saat membuat sertifikat, sekarang Hanya OID 1.3.6.1.5.5.7.1.31 yang diizinkan, dan klien yang menggunakan OID 1.3.6.1.5.5.7.1.30.1 tidak akan bisa mendapatkan sertifikat ).
Sumber: opennet.ru