🥇 Let's Encrypt מבטלת 2 מיליון אישורים עקב בעיות ביישום TLS-ALPN-01

Let's Encrypt, רשות אישורים ללא מטרות רווח הנשלטת על ידי הקהילה, המספקת אישורים בחינם לכל מי שמעוניין בהם, הודיעה על ביטול מוקדם של כשני מיליון אישורים TLS, המהווים כ-1% מכלל האישורים הפעילים של רשות אישורים זו. ביטול האישורים החל עקב גילוי אי-ציות לדרישות המפרט בקוד בו נעשה שימוש ב-Let's Encrypt עם יישום ההרחבה TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). אי-הציות נבע מהיעדר בדיקות מסוימות שבוצעו במהלך משא ומתן על חיבורים המבוססים על ההרחבה ALPN TLS המשמשת ב-HTTP/2. מידע מפורט על התקרית יפורסם לאחר השלמת ביטול האישורים הבעייתיים.

ב-26 בינואר בשעה 03:48 (MSK) הבעיה תוקנה, אך כל האישורים שהונפקו באמצעות שיטת האימות TLS-ALPN-01 הוחלט כי הם אינם תקפים. ביטול האישורים יחל ב-28 בינואר בשעה 19:00 (MSK). לפני כן, מומלץ למשתמשים המשתמשים בשיטת האימות TLS-ALPN-01 לעדכן את האישורים שלהם, אחרת הם יבוטלו מוקדם מהצפוי.

הודעות על הצורך לחדש אישורים נשלחו בדוא"ל. משתמשים המשתמשים ב-Certbot ובכלי dehydrated כדי להשיג אישורים עם הגדרות ברירת מחדל אינם מושפעים מהבעיה. שיטת TLS-ALPN-01 נתמכת בחבילות Caddy, Traefik, Apache mod_md ו-autocert. ניתן לאמת את תוקף האישורים שלך על ידי חיפוש מזהים, מספרים סידוריים או... דומיינים ברשימת התעודות הבעייתיות.

מאחר שהשינויים משפיעים על ההתנהגות בעת אימות באמצעות שיטת TLS-ALPN-01, ייתכן שיידרש עדכון לקוח ACME או שינויי תצורה (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) כדי להמשיך לפעול. השינויים מסתכמים בשימוש בגרסאות TLS שאינן נמוכות מגרסה 1.2 (לקוחות לא יוכלו עוד להשתמש ב-TLS 1.1) והפסקת התמיכה ב-OID 1.3.6.1.5.5.7.1.30.1, המזהה את סיומת acmeIdentifier המיושנת הנתמכת רק בטיוטות מוקדמות של מפרט RFC 8737 (בעת יצירת אישור, רק OID 1.3.6.1.5.5.7.1.31 מותר כעת, ולקוחות המשתמשים ב-OID 1.3.6.1.5.5.7.1.30.1 לא יוכלו לקבל אישור).

מקור: OpenNet.ru

Let's Encrypt מבטל 2 מיליון אישורים עקב בעיות ביישום TLS-ALPN-01