Коомчулук тарабынан көзөмөлдөнгөн жана сертификаттарды бардыгына акысыз камсыз кылган коммерциялык эмес тастыктама органы Let's Encrypt, эки миллионго жакын TLS сертификаттарынын мөөнөтүнөн мурда жокко чыгарылганын жарыялады, бул бул тастыктама берүүчү органдын бардык активдүү сертификаттарынын 1%га жакынын түзөт. Сертификаттарды жокко чыгаруу TLS-ALPN-01 кеңейтүүсүн (RFC 7301, Колдонмо-катмар протоколу сүйлөшүүлөрү) ишке ашыруу менен Let's Encrypt'те колдонулган коддун спецификация талаптарына ылайык келбегендигин аныктоодон улам башталган. Дал келбестик HTTP/2де колдонулган ALPN TLS кеңейтүүсүнө негизделген туташуу сүйлөшүү процессинде аткарылган кээ бир текшерүүлөрдүн жоктугунан улам болгон. Окуя тууралуу толук маалымат көйгөйлүү күбөлүктөрдү жокко чыгаруу иштери аяктагандан кийин жарыяланат.
26-январда саат 03:48де (MSK) көйгөй чечилди, бирок текшерүү үчүн TLS-ALPN-01 ыкмасы менен берилген бардык сертификаттар жараксыз деп табылды. Күбөлүктөрдү жокко чыгаруу 28-январда саат 19:00дө (МСК) башталат. Ушул убакка чейин TLS-ALPN-01 текшерүү ыкмасын колдонгон колдонуучуларга сертификаттарын жаңыртуу сунушталат, антпесе алар эрте жараксыз болуп калат.
Сертификаттарды жаңыртуу зарылчылыгы жөнүндө тиешелүү билдирүүлөр электрондук почта аркылуу жөнөтүлөт. Сертификат алуу үчүн Certbot жана суусузданган куралдарды колдонгон колдонуучулар демейки жөндөөлөрдү колдонууда маселеге таасирин тийгизген жок. TLS-ALPN-01 ыкмасы Caddy, Traefik, apache mod_md жана autocert пакеттеринде колдоого алынат. Көйгөйлүү сертификаттардын тизмесинен идентификаторлорду, сериялык номерлерди же домендерди издөө аркылуу күбөлүктөрдүн тууралыгын текшере аласыз.
TLS-ALPN-01 ыкмасын колдонуу менен текшерүүдө өзгөртүүлөр жүрүм-турумуна таасирин тийгизгендиктен, ишти улантуу үчүн ACME кардарын жаңыртуу же жөндөөлөрдү өзгөртүү (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) талап кылынышы мүмкүн. Өзгөртүүлөр 1.2ден төмөн эмес TLS версияларын колдонууну (кардарлар мындан ары TLS 1.1 колдоно алышпайт) жана OID 1.3.6.1.5.5.7.1.30.1 эскирүүнү камтыйт, ал эскирген acmeIdentifier кеңейтүүсүн аныктайт, буга чейин гана колдоого алынган RFC 8737 спецификациясынын долбоорлору (сертификат түзүүдө азыр OID 1.3.6.1.5.5.7.1.31 гана уруксат берилет, ал эми OID 1.3.6.1.5.5.7.1.30.1ди колдонгон кардарлар сертификат ала алышпайт).
Source: opennet.ru