Bendruomenės kontroliuojama ir visiems nemokamai sertifikatus teikianti pelno nesiekianti sertifikatų institucija „Let's Encrypt“ paskelbė apie išankstinį maždaug dviejų milijonų TLS sertifikatų atšaukimą, o tai sudaro apie 1% visų aktyvių šios sertifikavimo institucijos sertifikatų. Sertifikatų atšaukimas buvo inicijuotas nustačius neatitikimą specifikacijos reikalavimams Kode, naudojamoje Užšifruokime, įdiegus TLS-ALPN-01 plėtinį (RFC 7301, Application-Layer Protocol Negotiation). Neatitikimas atsirado dėl to, kad nebuvo kai kurių patikrinimų, atliktų derybų dėl ryšio metu, remiantis HTTP/2 naudojamu ALPN TLS plėtiniu. Išsami informacija apie įvykį bus paskelbta baigus panaikinti problemines pažymas.
Sausio 26 d. 03:48 (MSK) problema buvo išspręsta, tačiau visi sertifikatai, kurie buvo išduoti tikrinimui naudojant TLS-ALPN-01 metodą, buvo nuspręsti pripažinti negaliojančiais. Sertifikatų panaikinimas prasidės sausio 28 dieną 19:00 (MSK). Iki to laiko naudotojams, naudojantiems TLS-ALPN-01 patvirtinimo metodą, patariama atnaujinti savo sertifikatus, kitaip jie anksti anuliuos.
Pranešimai apie sertifikatų atnaujinimo poreikį buvo išsiųsti el. paštu. Vartotojams, naudojantiems „Certbot“ ir dehidratuotus įrankius sertifikatams su numatytaisiais nustatymais gauti, ši problema nepaveikia. TLS-ALPN-01 metodas palaikomas „Caddy“, „Traefik“, „Apache mod_md“ ir „autocert“ paketuose. Sertifikatų galiojimą galite patikrinti ieškodami identifikatorių, serijos numerių arba domenai probleminių sertifikatų sąraše.
Kadangi pakeitimai turi įtakos elgsenai tikrinant naudojant TLS-ALPN-01 metodą, norint tęsti darbą gali tekti atnaujinti ACME klientą arba pakeisti nustatymus (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Pakeitimai apima ne žemesnių nei 1.2 TLS versijų naudojimą (klientai nebegalės naudoti TLS 1.1) ir OID 1.3.6.1.5.5.7.1.30.1, kuris identifikuoja pasenusį acmeIdentifier plėtinį, kuris palaikomas tik ankstesniuose versijose, naudojimą. RFC 8737 specifikacijos juodraščiai (generuojant sertifikatą, dabar leidžiamas Tik OID 1.3.6.1.5.5.7.1.31, o klientai naudojantys OID 1.3.6.1.5.5.7.1.30.1 sertifikato gauti negalės).
Šaltinis: opennet.ru
