Let's Encrypt, eng non-profit Zertifikat Autoritéit déi vun der Gemeinschaft kontrolléiert gëtt a jidderee gratis Certificaten ubitt, huet de fréie Réckzuch vun ongeféier zwou Milliounen TLS Certificaten ugekënnegt, dat ass ongeféier 1% vun allen aktiven Certificaten vun dëser Zertifizéierungsautoritéit. D'Revokatioun vun den Certificaten gouf initiéiert wéinst der Identifikatioun vun der Net-Konformitéit mat Spezifizéierungsfuerderunge am Code benotzt an Let's Encrypt mat der Ëmsetzung vun der TLS-ALPN-01 Extensioun (RFC 7301, Application-Layer Protocol Negotiation). D'Diskrepanz war wéinst der Fehlen vun e puer Kontrollen, déi während dem Verbindungsverhandlungsprozess gemaach goufen, baséiert op der ALPN TLS Extensioun, déi an HTTP/2 benotzt gëtt. Detailléiert Informatioun iwwer den Zwëschefall gëtt publizéiert nodeems d'Revokatioun vun de problematesche Certificaten ofgeschloss ass.
De 26. Januar um 03:48 (MSK) gouf de Problem fixéiert, awer all Certificaten, déi mat der TLS-ALPN-01 Method fir d'Verifizéierung ausgestallt goufen, goufen decidéiert ongëlteg ze ginn. Réckzuch vun Certificaten fänkt den 28. Januar um 19:00 (MSK) un. Bis zu dëser Zäit ginn d'Benotzer, déi d'TLS-ALPN-01 Verifizéierungsmethod benotzen, ugeroden hir Certificaten ze aktualiséieren, soss gi se fréi ongëlteg.
Notifikatiounen iwwer d'Noutwennegkeet vun der Erneierung vun Zertifikater goufen per E-Mail geschéckt. Benotzer, déi de Certbot an d'dehydratéiert Tools benotzen, fir Zertifikater mat Standardastellungen ze kréien, sinn net vum Problem betraff. D'TLS-ALPN-01 Method gëtt an de Caddy, Traefik, Apache mod_md an autocert Paketen ënnerstëtzt. Dir kënnt d'Gëltegkeet vun Äre Zertifikater verifizéieren andeems Dir no Identifikatoren, Seriennummeren oder ... sicht. Domainen an der Lëscht vun de problematesche Zertifikater.
Well d'Ännerungen d'Verhalen beaflossen wann Dir d'TLS-ALPN-01 Method iwwerpréift, kann d'Aktualiséierung vum ACME Client oder d'Astellunge änneren (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) néideg sinn fir weider ze schaffen. D'Ännerungen enthalen d'Benotzung vun TLS Versiounen net manner wéi 1.2 (Clienten kënnen TLS 1.1 net méi benotzen) an d'OID 1.3.6.1.5.5.7.1.30.1, déi déi verouderd acmeIdentifier Extensioun identifizéiert, nëmmen a fréier ënnerstëtzt. Entworf vun der RFC 8737 Spezifizéierung (wann Dir e Certificat generéiert, elo Nëmmen OID 1.3.6.1.5.5.7.1.31 ass erlaabt, a Clienten déi OID 1.3.6.1.5.5.7.1.30.1 benotzen, kënnen net e Certificat kréien).
Source: opennet.ru
