Нийгэмлэгийн хяналтад байдаг ашгийн бус гэрчилгээний байгууллага Let's Encrypt нь гэрчилгээг хүн бүрт үнэ төлбөргүй олгодог бөгөөд ойролцоогоор хоёр сая TLS гэрчилгээг эрт цуцалсан тухай зарласан нь энэхүү баталгаажуулалтын байгууллагын идэвхтэй гэрчилгээний 1 орчим хувь юм. TLS-ALPN-01 өргөтгөлийг (RFC 7301, Хэрэглээний давхаргын протоколын хэлэлцээр) хэрэгжүүлснээр Let's Encrypt-д ашигласан код нь техникийн үзүүлэлтүүдийн шаардлагад нийцэхгүй байгаа нь тогтоогдсон тул гэрчилгээг хүчингүй болгох ажлыг эхлүүлсэн. Энэ зөрүү нь HTTP/2-д ашигласан ALPN TLS өргөтгөл дээр суурилсан холболтын хэлэлцээрийн явцад хийгдсэн зарим шалгалт байхгүй байсантай холбоотой юм. Асуудалтай гэрчилгээг хүчингүй болгож дууссаны дараа үйл явдлын талаарх дэлгэрэнгүй мэдээллийг нийтлэх болно.
26-р сарын 03-ны 48:01 цагт (MSK) асуудлыг зассан боловч TLS-ALPN-28 аргыг ашиглан баталгаажуулсан бүх гэрчилгээг хүчингүй болгохоор шийдвэрлэсэн. Сертификатуудыг хүчингүй болгох ажил 19-р сарын 00-ны 01:XNUMX цагт (MSK) эхэлнэ. Энэ хүртэл TLS-ALPN-XNUMX баталгаажуулалтын аргыг ашигладаг хэрэглэгчид гэрчилгээгээ шинэчлэхийг зөвлөж байна, эс тэгвээс эрт хүчингүй болно.
Сертификатыг шинэчлэх шаардлагатай холбоотой мэдэгдлийг имэйлээр илгээдэг. Сертификат авахын тулд Certbot болон усгүйжүүлсэн хэрэгслийг ашигладаг хэрэглэгчид анхдагч тохиргоог ашиглах үед асуудалд өртөөгүй. TLS-ALPN-01 аргыг Caddy, Traefik, apache mod_md болон autocert багцуудад дэмждэг. Та асуудалтай гэрчилгээний жагсаалтаас танигч, серийн дугаар эсвэл домэйн хайх замаар гэрчилгээнийхээ зөв эсэхийг шалгаж болно.
Өөрчлөлт нь TLS-ALPN-01 аргыг ашиглан шалгах үед зан төлөвт нөлөөлж байгаа тул үргэлжлүүлэн ажиллахын тулд ACME клиентийг шинэчлэх эсвэл тохиргоог өөрчлөх (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) шаардлагатай. Өөрчлөлтөд 1.2-оос доошгүй TLS хувилбаруудыг ашиглах (үйлчлүүлэгчид TLS 1.1 ашиглах боломжгүй болно) болон зөвхөн өмнө нь дэмжигдсэн хуучирсан acmeIdentifier өргөтгөлийг тодорхойлсон OID 1.3.6.1.5.5.7.1.30.1-ийг цуцалсан зэрэг багтана. RFC 8737 техникийн тодорхойлолтын ноорог (сертификат үүсгэх үед одоо зөвхөн OID 1.3.6.1.5.5.7.1.31-ийг ашиглахыг зөвшөөрдөг бөгөөд OID 1.3.6.1.5.5.7.1.30.1-ийг ашигладаг үйлчлүүлэгчид гэрчилгээ авах боломжгүй).
Эх сурвалж: opennet.ru