Let's Encrypt, vottorðastofnun sem er ekki rekin í hagnaðarskyni sem er undir stjórn samfélagsins og veitir öllum skírteini að kostnaðarlausu, tilkynnti snemma afturköllun á um það bil tveimur milljónum TLS vottorða, sem er um 1% af öllum virkum vottorðum þessa vottunaryfirvalds. Afturköllun skírteina var hafin vegna þess að greint var frá því að ekki væri farið að kröfum um forskrift í kóðanum sem notaður var í Let's Encrypt með innleiðingu á TLS-ALPN-01 viðbótinni (RFC 7301, Application-Layer Protocol Negotiation). Misræmið var vegna þess að ekki voru nokkrar athuganir sem framkvæmdar voru á meðan á samningaviðræðum um tengingu stóð, byggð á ALPN TLS viðbótinni sem notuð er í HTTP/2. Ítarlegar upplýsingar um atvikið verða birtar eftir að afturköllun vandræðavottorðanna lýkur.
Þann 26. janúar kl. 03:48 (MSK) var vandamálið lagað en ákveðið var að ógilda öll skírteini sem gefin voru út með TLS-ALPN-01 aðferð til sannprófunar. Afturköllun skírteina hefst 28. janúar klukkan 19:00 (MSK). Fram að þessum tíma er notendum sem nota TLS-ALPN-01 staðfestingaraðferðina ráðlagt að uppfæra skírteinin sín, annars verða þau ógild snemma.
Viðeigandi tilkynningar um þörf á að uppfæra vottorð eru sendar með tölvupósti. Notendur sem notuðu Certbot og afvötnuð verkfæri til að fá vottorð urðu ekki fyrir áhrifum af vandamálinu þegar þeir notuðu sjálfgefnar stillingar. TLS-ALPN-01 aðferðin er studd í Caddy, Traefik, apache mod_md og autocert pökkunum. Þú getur athugað réttmæti skírteina þinna með því að leita að auðkennum, raðnúmerum eða lénum á listanum yfir erfið vottorð.
Þar sem breytingarnar hafa áhrif á hegðun þegar athugað er með TLS-ALPN-01 aðferðinni gæti þurft að uppfæra ACME biðlarann eða breyta stillingum (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) til að halda áfram að vinna. Breytingarnar fela í sér notkun á TLS útgáfum sem eru ekki lægri en 1.2 (viðskiptavinir munu ekki lengur geta notað TLS 1.1) og úreldingu OID 1.3.6.1.5.5.7.1.30.1, sem auðkennir úrelta acmeIdentifier viðbótina, aðeins studd í fyrri drög að RFC 8737 forskriftinni (þegar skírteini er búið til er nú aðeins OID 1.3.6.1.5.5.7.1.31 leyft og viðskiptavinir sem nota OID 1.3.6.1.5.5.7.1.30.1 munu ekki geta fengið vottorð).
Heimild: opennet.ru