Sabiedrības kontrolētā bezpeļņas sertifikācijas iestāde Let's Encrypt, kas ikvienam nodrošina bez maksas sertifikātus, paziņoja par aptuveni divu miljonu TLS sertifikātu priekšlaicīgu atsaukšanu, kas ir aptuveni 1% no visiem šīs sertifikācijas iestādes aktīvajiem sertifikātiem. Sertifikātu atsaukšana tika uzsākta, jo tika konstatēta neatbilstība specifikācijas prasībām kodā, kas izmantots kodā Encrypt ar paplašinājuma TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation) ieviešanu. Neatbilstība radās tāpēc, ka savienojuma sarunu procesā netika veiktas dažas pārbaudes, pamatojoties uz HTTP/2 izmantoto ALPN TLS paplašinājumu. Sīkāka informācija par notikušo tiks publicēta pēc problemātisko sertifikātu atsaukšanas pabeigšanas.
26. janvārī pulksten 03:48 (MSK) problēma tika novērsta, taču tika nolemts anulēt visus sertifikātus, kas tika izsniegti, izmantojot TLS-ALPN-01 verifikācijas metodi. Sertifikātu atsaukšana sāksies 28.janvārī plkst.19:00 (MSK). Līdz šim brīdim lietotājiem, kuri izmanto verifikācijas metodi TLS-ALPN-01, ir ieteicams atjaunināt savus sertifikātus, pretējā gadījumā tie tiks priekšlaicīgi anulēti.
Paziņojumi par nepieciešamību atjaunot sertifikātus ir nosūtīti pa e-pastu. Lietotāji, kas izmanto Certbot un dehidrētus rīkus, lai iegūtu sertifikātus ar noklusējuma iestatījumiem, netiek ietekmēti. TLS-ALPN-01 metode tiek atbalstīta Caddy, Traefik, Apache mod_md un autocert pakotnēs. Sertifikātu derīgumu varat pārbaudīt, meklējot identifikatorus, sērijas numurus vai domēni problemātisko sertifikātu sarakstā.
Tā kā izmaiņas ietekmē uzvedību, veicot pārbaudi, izmantojot metodi TLS-ALPN-01, lai turpinātu darbu, var būt nepieciešams atjaunināt ACME klientu vai mainīt iestatījumus (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Izmaiņas ietver TLS versiju izmantošanu, kas nav zemāka par 1.2 (klienti vairs nevarēs izmantot TLS 1.1) un atbalsta pārtraukšanu OID 1.3.6.1.5.5.7.1.30.1, kas identificē novecojušo paplašinājumu acmeIdentifier, tiek atbalstīts tikai iepriekšējos RFC 8737 specifikācijas projektos (ģenerējot sertifikātu, tagad ir atļauts tikai OID 1.3.6.1.5.5.7.1.31, un klienti, kuri izmanto OID 1.3.6.1.5.5.7.1.30.1, nevarēs iegūt sertifikātu ).
Avots: opennet.ru
