🥇Ајде да криптираме поништува 2 милиони сертификати поради проблеми во имплементацијата на TLS-ALPN-01

Let's Encrypt, непрофитен орган за сертификати кој е контролиран од заедницата и обезбедува сертификати бесплатно за секого, најави предвремено отповикување на приближно два милиони TLS сертификати, што е околу 1% од сите активни сертификати на овој орган за сертификација. Отповикувањето на сертификатите беше иницирано поради идентификување на неусогласеност со барањата за спецификација во кодот што се користи во Let's Encrypt со имплементацијата на екстензијата TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Несовпаѓањето се должи на отсуството на некои проверки извршени за време на процесот на преговори за поврзување врз основа на екстензијата ALPN TLS што се користи во HTTP/2. Детални информации за инцидентот ќе бидат објавени по завршувањето на одземањето на проблематичните потврди.

На 26 јануари во 03:48 (MSK) проблемот беше решен, но сите сертификати кои беа издадени со методот TLS-ALPN-01 за верификација беа решени да бидат поништени. Одземањето на сертификатите ќе започне на 28 јануари во 19:00 часот (МСК). До овој момент, на корисниците кои го користат методот за верификација TLS-ALPN-01 им се препорачува да ги ажурираат своите сертификати, во спротивно тие ќе бидат рано поништени.

Релевантни известувања за потребата од ажурирање на сертификатите се испраќаат по е-пошта. Корисниците кои користат Certbot и дехидрирани алатки за да добијат сертификат не беа погодени од проблемот при користење на стандардните поставки. Методот TLS-ALPN-01 е поддржан во пакетите Caddy, Traefik, apache mod_md и autocert. Можете да ја проверите исправноста на вашите сертификати со пребарување на идентификатори, сериски броеви или домени во списокот со проблематични сертификати.

Бидејќи промените влијаат на однесувањето при проверка со користење на методот TLS-ALPN-01, може да биде потребно ажурирање на клиентот ACME или менување на поставките (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) за да продолжи да работи. Промените вклучуваат употреба на TLS верзии не пониски од 1.2 (клиентите веќе нема да можат да користат TLS 1.1) и прекин на поддршката за OID 1.3.6.1.5.5.7.1.30.1, што ја идентификува застарената екстензија acmeIdentifier, само поддржана во претходните нацрти на спецификацијата RFC 8737 (при генерирање сертификат, сега е дозволен само OID 1.3.6.1.5.5.7.1.31, а клиентите што користат OID 1.3.6.1.5.5.7.1.30.1 нема да можат да добијат сертификат ).

Извор: opennet.ru

Let's Encrypt отповикува 2 милиони сертификати поради проблеми со имплементацијата на TLS-ALPN-01

Додадете коментар Откажи одговор