コミュニティによって管理され、誰にでも無料で証明書を提供する非営利の認証局である Let's Encrypt は、この認証局のすべてのアクティブな証明書の約 1% に相当する約 01 万の TLS 証明書の早期失効を発表しました。 証明書の失効は、TLS-ALPN-7301 拡張機能 (RFC 2、アプリケーション層プロトコル ネゴシエーション) の実装を伴う Let's Encrypt で使用されるコードの仕様要件への非準拠が特定されたために開始されました。 この不一致は、HTTP/XNUMX で使用される ALPN TLS 拡張機能に基づく接続ネゴシエーション プロセス中に実行されるいくつかのチェックが欠落していることが原因でした。 このインシデントに関する詳細情報は、問題のある証明書の失効が完了した後に公開される予定です。
26 月 03 日 48:01 (MSK) に問題は修正されましたが、検証に TLS-ALPN-28 方式を使用して発行されたすべての証明書が無効になることが決定されました。 証明書の失効は 19 月 00 日の 01:XNUMX (MSK) に開始されます。 この時点までは、TLS-ALPN-XNUMX 検証方法を使用しているユーザーは証明書を更新することをお勧めします。更新しない場合、証明書は早期に無効になります。
証明書の更新の必要性に関する関連通知は電子メールで送信されます。 Certbot とデハイドレート ツールを使用して証明書を取得するユーザーは、デフォルト設定を使用している場合には問題の影響を受けませんでした。 TLS-ALPN-01 メソッドは、Caddy、Traefik、apache mod_md、および autocert パッケージでサポートされています。 問題のある証明書のリストで識別子、シリアル番号、またはドメインを検索することで、証明書が正しいかどうかを確認できます。
この変更は TLS-ALPN-01 メソッドを使用してチェックするときの動作に影響するため、動作を継続するには ACME クライアントの更新または設定 (Caddy、bitnami/bn-cert、autocert、apache mod_md、Traefik) の変更が必要になる場合があります。 この変更には、TLS バージョン 1.2 以上の使用 (クライアントは TLS 1.1 を使用できなくなります) と、以前のバージョンでのみサポートされていた廃止された acmeIdentifier 拡張機能を識別する OID 1.3.6.1.5.5.7.1.30.1 の非推奨が含まれます。 RFC 8737 仕様のドラフト (証明書を生成する場合、現在は OID 1.3.6.1.5.5.7.1.31 のみが許可されており、OID 1.3.6.1.5.5.7.1.30.1 を使用するクライアントは証明書を取得できません)。
出所: オープンネット.ru