Let's Encrypt, auctoritas certificatoria (CA) a communitate administrata et sine lucro, quae certificata gratuita omnibus praebet, revocationem praematuram circiter duorum milionum certificatorum TLS, quae circiter 1% omnium certificatorum activorum a CA emissionum repraesentant, nuntiavit. Revocatio initiata est propter non-obsequium requisitorum specificationis in codice Let's Encrypt qui extensionem TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation) implementat. Non-obsequium debitum est absentiae quarundam probationum peractarum durante negotiatione connexionis secundum extensionem ALPN TLS, quae in HTTP/2 adhibetur. Informationes singulares de incidente divulgabuntur postquam revocatio certificatorum affectorum completa erit.
Die XXVI mensis Ianuarii, hora tertia et quadraginta octava ante meridiem (MSK), quaestio soluta est, sed omnia documenta edita methodo verificationis TLS-ALPN-01 irrita facta sunt. Revocatio documentorum incipiet die XXVIII mensis Ianuarii, hora septima post meridiem (MSK). Usoribus methodo verificationis TLS-ALPN-01 utentibus suadetur ut documenta sua ante hoc tempus renovent, alioquin praemature irrita erunt.
Nuntia de necessitate renovandi certificata per inscriptionem electronicam missa sunt. Usoribus qui Certbot et instrumenta dehydrata utuntur ad certificata cum configurationibus praedefinitis obtinenda, hoc problema non afficitur. Methodus TLS-ALPN-01 in fasciculis Caddy, Traefik, Apache mod_md, et autocert sustinetur. Validitatem certificatorum tuorum verificare potes quaerendo identificatores, numeros seriales, vel... доменов in indice certificatorum problematicorum.
Cum hae mutationes mores verificationis TLS-ALPN-01 afficiant, renovatio clientis ACME vel mutationes configurationis (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) ad operandum continuandum requirantur. Mutationes ad usum versionum TLS non inferiorum quam 1.2 reducuntur (clientes iam TLS 1.1 uti non poterunt) et cessationem subsidii pro OID 1.3.6.1.5.5.7.1.30.1, qui extensionem acmeIdentifier obsoletam, quae tantum in primis exemplaribus specificationis RFC 8737 sustentabatur, identificat (cum certificatum generatur, solum OID 1.3.6.1.5.5.7.1.31 nunc permittitur, et clientes OID 1.3.6.1.5.5.7.1.30.1 utentes certificatum obtinere non poterunt).
Source: opennet.ru
