Let's Encrypt, pihak berkuasa sijil bukan untung yang dikawal oleh komuniti dan menyediakan sijil secara percuma kepada semua orang, mengumumkan pembatalan awal kira-kira dua juta sijil TLS, iaitu kira-kira 1% daripada semua sijil aktif pihak berkuasa pensijilan ini. Pembatalan sijil telah dimulakan disebabkan oleh pengenalan ketidakpatuhan terhadap keperluan spesifikasi dalam kod yang digunakan dalam Let's Encrypt dengan pelaksanaan sambungan TLS-ALPN-01 (RFC 7301, Rundingan Protokol Lapisan Aplikasi). Percanggahan itu disebabkan oleh ketiadaan beberapa semakan yang dilakukan semasa proses rundingan sambungan berdasarkan sambungan ALPN TLS yang digunakan dalam HTTP/2. Maklumat terperinci mengenai kejadian itu akan diterbitkan selepas pembatalan sijil bermasalah selesai.
Pada 26 Januari pada 03:48 (MSK) masalah telah dibetulkan, tetapi semua sijil yang dikeluarkan menggunakan kaedah TLS-ALPN-01 untuk pengesahan telah diputuskan untuk tidak sah. Pembatalan sijil akan bermula pada 28 Januari jam 19:00 (MSK). Sehingga masa ini, pengguna yang menggunakan kaedah pengesahan TLS-ALPN-01 dinasihatkan untuk mengemas kini sijil mereka, jika tidak, mereka akan menjadi tidak sah lebih awal.
Pemberitahuan berkaitan tentang keperluan untuk mengemas kini sijil dihantar melalui e-mel. Pengguna yang menggunakan alat Certbot dan dehidrasi untuk mendapatkan sijil tidak terjejas oleh isu semasa menggunakan tetapan lalai. Kaedah TLS-ALPN-01 disokong dalam pakej Caddy, Traefik, apache mod_md dan autocert. Anda boleh menyemak ketepatan sijil anda dengan mencari pengecam, nombor siri atau domain dalam senarai sijil yang bermasalah.
Memandangkan perubahan mempengaruhi tingkah laku semasa menyemak menggunakan kaedah TLS-ALPN-01, mengemas kini klien ACME atau menukar tetapan (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) mungkin diperlukan untuk terus berfungsi. Perubahan tersebut termasuk penggunaan versi TLS tidak lebih rendah daripada 1.2 (pelanggan tidak lagi akan dapat menggunakan TLS 1.1) dan penamatan OID 1.3.6.1.5.5.7.1.30.1, yang mengenal pasti sambungan acmeIdentifier usang, hanya disokong dalam sebelumnya. draf spesifikasi RFC 8737 (semasa menjana sijil, kini Hanya OID 1.3.6.1.5.5.7.1.31 dibenarkan dan pelanggan yang menggunakan OID 1.3.6.1.5.5.7.1.30.1 tidak akan dapat mendapatkan sijil).
Sumber: opennet.ru