Let's Encrypt, awtorità taċ-ċertifikati mingħajr skop ta 'qligħ li hija kkontrollata mill-komunità u tipprovdi ċertifikati mingħajr ħlas lil kulħadd, ħabbret ir-revoka bikrija ta' madwar żewġ miljun ċertifikat TLS, li huwa madwar 1% taċ-ċertifikati attivi kollha ta 'din l-awtorità ta' ċertifikazzjoni. Ir-revoka taċ-ċertifikati nbdiet minħabba l-identifikazzjoni ta 'nuqqas ta' konformità mar-rekwiżiti tal-ispeċifikazzjoni fil-kodiċi użat f'Ejja Encrypt bl-implimentazzjoni tal-estensjoni TLS-ALPN-01 (RFC 7301, Applikazzjoni-Layer Protocol Negotiation). Id-diskrepanza kienet dovuta għan-nuqqas ta' xi kontrolli mwettqa matul il-proċess tan-negozjar tal-konnessjoni bbażat fuq l-estensjoni TLS ALPN użata f'HTTP/2. Informazzjoni dettaljata dwar l-inċident tiġi ppubblikata wara li titlesta r-revoka taċ-ċertifikati problematiċi.
Fis-26 ta' Jannar fit-03:48 (MSK) il-problema ġiet irranġata, iżda ċ-ċertifikati kollha li nħarġu bl-użu tal-metodu TLS-ALPN-01 għall-verifika ġew deċiżi li jiġu invalidati. Ir-revoka taċ-ċertifikati tibda fit-28 ta’ Jannar fis-19:00 (MSK). Sa dan iż-żmien, l-utenti li jużaw il-metodu ta 'verifika TLS-ALPN-01 huma avżati biex jaġġornaw iċ-ċertifikati tagħhom, inkella jkunu invalidati kmieni.
Notifiki rilevanti dwar il-ħtieġa li jiġu aġġornati ċertifikati jintbagħtu bl-email. Utenti li jużaw iċ-Certbot u għodod deidrati biex jiksbu ċertifikat ma ġewx affettwati mill-kwistjoni meta użaw is-settings default. Il-metodu TLS-ALPN-01 huwa appoġġjat fil-pakketti Caddy, Traefik, apache mod_md u autocert. Tista' tiċċekkja l-korrettezza taċ-ċertifikati tiegħek billi tfittex identifikaturi, numri tas-serje jew dominji fil-lista ta' ċertifikati problematiċi.
Peress li l-bidliet jaffettwaw l-imġieba meta tiċċekkja bl-użu tal-metodu TLS-ALPN-01, l-aġġornament tal-klijent ACME jew it-tibdil tas-settings (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) jistgħu jkunu meħtieġa biex tkompli taħdem. Il-bidliet jinkludu l-użu ta' verżjonijiet TLS mhux inqas minn 1.2 (il-klijenti mhux se jkunu jistgħu aktar jużaw TLS 1.1) u t-tneħħija tal-OID 1.3.6.1.5.5.7.1.30.1, li tidentifika l-estensjoni obsoleta acmeIdentifier, appoġġjata biss f'qabel abbozzi tal-ispeċifikazzjoni RFC 8737 (meta tiġġenera ċertifikat, issa OID 1.3.6.1.5.5.7.1.31 biss huwa permess, u l-klijenti li jużaw OID 1.3.6.1.5.5.7.1.30.1 mhux se jkunu jistgħu jiksbu ċertifikat).
Sors: opennet.ru