Let's Encrypt, қоғамдастық бақылайтын және сертификаттарды барлығына тегін беретін коммерциялық емес сертификаттау органы шамамен екі миллион TLS сертификатының мерзімінен бұрын күшін жою туралы жариялады, бұл осы сертификаттау орталығының барлық белсенді сертификаттарының шамамен 1% құрайды. Сертификаттарды қайтарып алу TLS-ALPN-01 кеңейтімін (RFC 7301, Қолданба-деңгейлік хаттама келіссөздері) іске асырумен Let's Encrypt қолданбасында пайдаланылған кодтағы спецификация талаптарына сәйкессіздікті анықтауға байланысты басталды. Сәйкессіздік HTTP/2 жүйесінде пайдаланылған ALPN TLS кеңейтіміне негізделген қосылу туралы келіссөздер процесі кезінде орындалған кейбір тексерулердің болмауына байланысты болды. Оқиға туралы толық ақпарат проблемалық куәліктерді қайтарып алу аяқталғаннан кейін жарияланады.
26 қаңтарда сағат 03:48-де (MSK) ақау жойылды, бірақ тексеру үшін TLS-ALPN-01 әдісімен берілген барлық сертификаттар жарамсыз деп танылды. Сертификаттарды қайтарып алу 28 қаңтарда сағат 19:00-де басталады (MSK). Осы уақытқа дейін TLS-ALPN-01 тексеру әдісін қолданатын пайдаланушыларға сертификаттарын жаңарту ұсынылады, әйтпесе олар ертерек жарамсыз болады.
Сертификаттарды жаңарту қажеттілігі туралы тиісті хабарламалар электрондық пошта арқылы жіберіледі. Сертификат алу үшін Certbot және сусыздандырылған құралдарды пайдаланатын пайдаланушыларға әдепкі параметрлерді пайдалану кезінде мәселе әсер етпеді. TLS-ALPN-01 әдісіне Caddy, Traefik, apache mod_md және autocert пакеттерінде қолдау көрсетіледі. Сертификаттарыңыздың дұрыстығын проблемалы сертификаттар тізімінен идентификаторларды, сериялық нөмірлерді немесе домендерді іздеу арқылы тексеруге болады.
Өзгерістер TLS-ALPN-01 әдісін пайдаланып тексеру кезінде әрекетке әсер ететіндіктен, жұмысты жалғастыру үшін ACME клиентін жаңарту немесе параметрлерді өзгерту (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) қажет болуы мүмкін. Өзгерістер 1.2-ден төмен емес TLS нұсқаларын пайдалануды (клиенттер бұдан былай TLS 1.1 пайдалана алмайды) және ескірген acmeIdentifier кеңейтімін анықтайтын OID 1.3.6.1.5.5.7.1.30.1 ескіруін қамтиды. RFC 8737 спецификациясының жобалары (сертификат жасау кезінде, қазір тек OID 1.3.6.1.5.5.7.1.31 рұқсат етіледі, ал OID 1.3.6.1.5.5.7.1.30.1 пайдаланатын клиенттер сертификат ала алмайды).
Ақпарат көзі: opennet.ru