Let's Encrypt는 TLS-ALPN-2 구현 문제로 인해 01백만 개의 인증서를 취소합니다.

커뮤니티가 관리하고 모든 사람에게 무료로 인증서를 제공하는 비영리 인증 기관인 Let's Encrypt는 이 인증 기관의 전체 활성 인증서 중 약 1%에 해당하는 약 01만 개의 TLS 인증서를 조기 폐기한다고 발표했습니다. TLS-ALPN-7301 확장(RFC 2, 애플리케이션 계층 프로토콜 협상) 구현을 통해 Let's Encrypt에 사용된 코드의 사양 요구 사항을 준수하지 않는 것으로 식별되어 인증서 폐기가 시작되었습니다. 이러한 불일치는 HTTP/XNUMX에서 사용되는 ALPN TLS 확장을 기반으로 연결 협상 프로세스 중에 일부 검사가 수행되지 않았기 때문에 발생했습니다. 사건에 대한 자세한 내용은 문제가 있는 인증서 폐지가 완료된 후 공개될 예정입니다.

26월 03일 48시 01분(MSK) 문제가 해결되었으나, TLS-ALPN-28 검증 방식을 사용하여 발급된 인증서는 모두 무효화되기로 결정되었습니다. 인증서 취소는 19월 00일 01:XNUMX(MSK)부터 시작됩니다. 이때까지 TLS-ALPN-XNUMX 확인 방법을 사용하는 사용자는 인증서를 업데이트하는 것이 좋습니다. 그렇지 않으면 인증서가 조기에 무효화됩니다.

인증서 업데이트 필요성에 대한 관련 알림이 이메일로 전송됩니다. 인증서를 얻기 위해 Certbot 및 탈수 도구를 사용하는 사용자는 기본 설정을 사용할 때 문제의 영향을 받지 않았습니다. TLS-ALPN-01 방법은 Caddy, Traefik, apache mod_md 및 autocert 패키지에서 지원됩니다. 문제가 있는 인증서 목록에서 식별자, 일련번호 또는 도메인을 검색하여 인증서의 정확성을 확인할 수 있습니다.

변경 사항은 TLS-ALPN-01 방법을 사용하여 확인할 때 동작에 영향을 미치므로 작업을 계속하려면 ACME 클라이언트를 업데이트하거나 설정(Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik)을 변경해야 할 수 있습니다. 변경 사항에는 1.2 이상의 TLS 버전 사용(클라이언트는 더 이상 TLS 1.1을 사용할 수 없음)과 더 이상 사용되지 않는 acmeIdentifier 확장을 식별하는 OID 1.3.6.1.5.5.7.1.30.1에 대한 지원 중단이 포함됩니다. RFC 8737 사양의 이전 초안(인증서를 생성할 때 이제 OID 1.3.6.1.5.5.7.1.31만 허용되며 OID 1.3.6.1.5.5.7.1.30.1을 사용하는 클라이언트는 인증서를 얻을 수 없습니다) ).

출처 : opennet.ru