Let's Encrypt, қоғамдастық бақылайтын және сертификаттарды барлығына тегін беретін коммерциялық емес сертификаттау органы шамамен екі миллион TLS сертификатының мерзімінен бұрын күшін жою туралы жариялады, бұл осы сертификаттау орталығының барлық белсенді сертификаттарының шамамен 1% құрайды. Сертификаттарды қайтарып алу TLS-ALPN-01 кеңейтімін (RFC 7301, Қолданба-деңгейлік хаттама келіссөздері) іске асырумен Let's Encrypt қолданбасында пайдаланылған кодтағы спецификация талаптарына сәйкессіздікті анықтауға байланысты басталды. Сәйкессіздік HTTP/2 жүйесінде пайдаланылған ALPN TLS кеңейтіміне негізделген қосылу туралы келіссөздер процесі кезінде орындалған кейбір тексерулердің болмауына байланысты болды. Оқиға туралы толық ақпарат проблемалық куәліктерді қайтарып алу аяқталғаннан кейін жарияланады.
26 қаңтарда сағат 03:48-де (MSK) ақау жойылды, бірақ тексеру үшін TLS-ALPN-01 әдісімен берілген барлық сертификаттар жарамсыз деп танылды. Сертификаттарды қайтарып алу 28 қаңтарда сағат 19:00-де басталады (MSK). Осы уақытқа дейін TLS-ALPN-01 тексеру әдісін қолданатын пайдаланушыларға сертификаттарын жаңарту ұсынылады, әйтпесе олар ертерек жарамсыз болады.
Сертификаттарды жаңарту қажеттілігі туралы хабарландырулар электрондық пошта арқылы жіберілді. Әдепкі параметрлермен сертификаттарды алу үшін Certbot және құрғатылған құралдарды пайдаланатын пайдаланушыларға бұл мәселе әсер етпейді. TLS-ALPN-01 әдісі Caddy, Traefik, Apache mod_md және autocert пакеттерінде қолдау көрсетіледі. Сіз сертификаттарыңыздың жарамдылығын идентификаторларды, сериялық нөмірлерді немесе домендер проблемалы сертификаттар тізімінде.
Өзгерістер TLS-ALPN-01 әдісін пайдаланып тексеру кезінде әрекетке әсер ететіндіктен, жұмысты жалғастыру үшін ACME клиентін жаңарту немесе параметрлерді өзгерту (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) қажет болуы мүмкін. Өзгерістер 1.2-ден төмен емес TLS нұсқаларын пайдалануды (клиенттер бұдан былай TLS 1.1 пайдалана алмайды) және ескірген acmeIdentifier кеңейтімін анықтайтын OID 1.3.6.1.5.5.7.1.30.1 ескіруін қамтиды. RFC 8737 спецификациясының жобалары (сертификат жасау кезінде, қазір тек OID 1.3.6.1.5.5.7.1.31 рұқсат етіледі, ал OID 1.3.6.1.5.5.7.1.30.1 пайдаланатын клиенттер сертификат ала алмайды).
Ақпарат көзі: opennet.ru
