Let's Encrypt, vottorðastofnun sem er ekki rekin í hagnaðarskyni sem er undir stjórn samfélagsins og veitir öllum skírteini að kostnaðarlausu, tilkynnti snemma afturköllun á um það bil tveimur milljónum TLS vottorða, sem er um 1% af öllum virkum vottorðum þessa vottunaryfirvalds. Afturköllun skírteina var hafin vegna þess að greint var frá því að ekki væri farið að kröfum um forskrift í kóðanum sem notaður var í Let's Encrypt með innleiðingu á TLS-ALPN-01 viðbótinni (RFC 7301, Application-Layer Protocol Negotiation). Misræmið var vegna þess að ekki voru nokkrar athuganir sem framkvæmdar voru á meðan á samningaviðræðum um tengingu stóð, byggð á ALPN TLS viðbótinni sem notuð er í HTTP/2. Ítarlegar upplýsingar um atvikið verða birtar eftir að afturköllun vandræðavottorðanna lýkur.
Þann 26. janúar kl. 03:48 (MSK) var vandamálið lagað en ákveðið var að ógilda öll skírteini sem gefin voru út með TLS-ALPN-01 aðferð til sannprófunar. Afturköllun skírteina hefst 28. janúar klukkan 19:00 (MSK). Fram að þessum tíma er notendum sem nota TLS-ALPN-01 staðfestingaraðferðina ráðlagt að uppfæra skírteinin sín, annars verða þau ógild snemma.
Tilkynningar um þörfina á að endurnýja vottorð hafa verið sendar með tölvupósti. Notendur sem nota Certbot og þurrkuð verkfæri til að fá vottorð með sjálfgefnum stillingum eru ekki fyrir áhrifum af vandamálinu. TLS-ALPN-01 aðferðin er studd í Caddy, Traefik, Apache mod_md og autocert pökkunum. Þú getur staðfest gildi vottorða þinna með því að leita að auðkennum, raðnúmerum eða ... lén á listanum yfir vandræðaleg skírteini.
Þar sem breytingarnar hafa áhrif á hegðun þegar athugað er með TLS-ALPN-01 aðferðinni gæti þurft að uppfæra ACME biðlarann eða breyta stillingum (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) til að halda áfram að vinna. Breytingarnar fela í sér notkun á TLS útgáfum sem eru ekki lægri en 1.2 (viðskiptavinir munu ekki lengur geta notað TLS 1.1) og úreldingu OID 1.3.6.1.5.5.7.1.30.1, sem auðkennir úrelta acmeIdentifier viðbótina, aðeins studd í fyrri drög að RFC 8737 forskriftinni (þegar skírteini er búið til er nú aðeins OID 1.3.6.1.5.5.7.1.31 leyft og viðskiptavinir sem nota OID 1.3.6.1.5.5.7.1.30.1 munu ekki geta fengið vottorð).
Heimild: opennet.ru
