🥇Let's Encrypt מבטל 2 מיליון אישורים עקב בעיות ביישום TLS-ALPN-01

Let's Encrypt, רשות אישורים ללא מטרות רווח שנשלטת על ידי הקהילה ומספקת תעודות בחינם לכולם, הודיעה על ביטול מוקדם של כשני מיליון תעודות TLS, שהם כ-1% מכלל התעודות הפעילות של רשות אישורים זו. ביטול האישורים החל עקב זיהוי של אי עמידה בדרישות המפרט בקוד המשמש ב-Let's Encrypt עם יישום ההרחבה TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). אי ההתאמה נבעה מהיעדר בדיקות מסוימות שבוצעו במהלך תהליך המשא ומתן על החיבור המבוסס על תוסף ALPN TLS המשמש ב-HTTP/2. מידע מפורט על האירוע יפורסם לאחר השלמת ביטול האישורים הבעייתיים.

ב-26 בינואר בשעה 03:48 (MSK) התקלה תוקנה, אך כל האישורים שהונפקו בשיטת TLS-ALPN-01 לאימות הוחלט לבטל. שלילת תעודות תחל ב-28 בינואר בשעה 19:00 (MSK). עד למועד זה, מומלץ למשתמשים המשתמשים בשיטת האימות TLS-ALPN-01 לעדכן את האישורים שלהם, אחרת הם יבוטלו מוקדם.

הודעות רלוונטיות לגבי הצורך בעדכון תעודות נשלחות בדוא"ל. משתמשים המשתמשים ב-Certbot ובכלים מיובשים כדי לקבל אישור לא הושפעו מהבעיה בעת השימוש בהגדרות ברירת המחדל. שיטת TLS-ALPN-01 נתמכת בחבילות Caddy, Traefik, apache mod_md ו-autocert. אתה יכול לבדוק את נכונות התעודות שלך על ידי חיפוש מזהים, מספרים סידוריים או דומיינים ברשימת התעודות הבעייתיות.

מכיוון שהשינויים משפיעים על ההתנהגות בעת בדיקה באמצעות שיטת TLS-ALPN-01, ייתכן שיידרש עדכון לקוח ACME או שינוי הגדרות (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) כדי להמשיך לעבוד. השינויים כוללים שימוש בגרסאות TLS שאינן נמוכות מ-1.2 (לקוחות לא יוכלו יותר להשתמש ב-TLS 1.1) והוצאה משימוש של OID 1.3.6.1.5.5.7.1.30.1, המזהה את הרחבה המיושנת acmeIdentifier, שנתמכה רק בקודמים קודמים. טיוטות של מפרט RFC 8737 (בעת הפקת אישור, כעת רק OID 1.3.6.1.5.5.7.1.31 מותר, ולקוחות המשתמשים ב-OID 1.3.6.1.5.5.7.1.30.1 לא יוכלו לקבל אישור).

מקור: OpenNet.ru

Let's Encrypt מבטל 2 מיליון אישורים עקב בעיות ביישום TLS-ALPN-01

הוספת תגובה ביטול תגובה