Sabiedrības kontrolētā bezpeļņas sertifikācijas iestāde Let's Encrypt, kas ikvienam nodrošina bez maksas sertifikātus, paziņoja par aptuveni divu miljonu TLS sertifikātu priekšlaicīgu atsaukšanu, kas ir aptuveni 1% no visiem šīs sertifikācijas iestādes aktīvajiem sertifikātiem. Sertifikātu atsaukšana tika uzsākta, jo tika konstatēta neatbilstība specifikācijas prasībām kodā, kas izmantots kodā Encrypt ar paplašinājuma TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation) ieviešanu. Neatbilstība radās tāpēc, ka savienojuma sarunu procesā netika veiktas dažas pārbaudes, pamatojoties uz HTTP/2 izmantoto ALPN TLS paplašinājumu. Sīkāka informācija par notikušo tiks publicēta pēc problemātisko sertifikātu atsaukšanas pabeigšanas.
26. janvārī pulksten 03:48 (MSK) problēma tika novērsta, taču tika nolemts anulēt visus sertifikātus, kas tika izsniegti, izmantojot TLS-ALPN-01 verifikācijas metodi. Sertifikātu atsaukšana sāksies 28.janvārī plkst.19:00 (MSK). Līdz šim brīdim lietotājiem, kuri izmanto verifikācijas metodi TLS-ALPN-01, ir ieteicams atjaunināt savus sertifikātus, pretējā gadījumā tie tiks priekšlaicīgi anulēti.
Attiecīgie paziņojumi par nepieciešamību atjaunināt sertifikātus tiek nosūtīti pa e-pastu. Lietotājus, kuri sertifikāta iegūšanai izmantoja Certbot un dehidrētus rīkus, problēma, izmantojot noklusējuma iestatījumus, neietekmēja. Metode TLS-ALPN-01 tiek atbalstīta Caddy, Traefik, apache mod_md un autocert pakotnēs. Jūs varat pārbaudīt savu sertifikātu pareizību, problemātisko sertifikātu sarakstā meklējot identifikatorus, sērijas numurus vai domēnus.
Tā kā izmaiņas ietekmē uzvedību, veicot pārbaudi, izmantojot metodi TLS-ALPN-01, lai turpinātu darbu, var būt nepieciešams atjaunināt ACME klientu vai mainīt iestatījumus (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Izmaiņas ietver TLS versiju izmantošanu, kas nav zemāka par 1.2 (klienti vairs nevarēs izmantot TLS 1.1) un atbalsta pārtraukšanu OID 1.3.6.1.5.5.7.1.30.1, kas identificē novecojušo paplašinājumu acmeIdentifier, tiek atbalstīts tikai iepriekšējos RFC 8737 specifikācijas projektos (ģenerējot sertifikātu, tagad ir atļauts tikai OID 1.3.6.1.5.5.7.1.31, un klienti, kuri izmanto OID 1.3.6.1.5.5.7.1.30.1, nevarēs iegūt sertifikātu ).
Avots: opennet.ru