ကွန်မြူနတီမှ ထိန်းချုပ်ပြီး လူတိုင်းအား အခမဲ့ လက်မှတ်များ ပေးဆောင်သည့် အကျိုးအမြတ်မယူသော သက်သေခံလက်မှတ် အာဏာပိုင်တစ်ခုဖြစ်သည့် Let's Encrypt သည် ခန့်မှန်းခြေအားဖြင့် TLS လက်မှတ် နှစ်သန်းခန့်ကို အစောပိုင်းတွင် ရုတ်သိမ်းကြောင်း ကြေညာခဲ့ပြီး၊ ယင်းသည် ဤအသိအမှတ်ပြုခွင့်အာဏာ၏ အသက်ဝင်သော လက်မှတ်အားလုံး၏ 1% ခန့်ဖြစ်သည်။ TLS-ALPN-01 တိုးချဲ့မှု (RFC 7301၊ Application-Layer Protocol Negotiation) ကို အကောင်အထည်ဖော်ခြင်းဖြင့် Let's Encrypt တွင် အသုံးပြုသည့် ကုဒ်တွင် သတ်မှတ်ချက်သတ်မှတ်ချက်များနှင့် မကိုက်ညီကြောင်း ဖော်ထုတ်တွေ့ရှိခြင်းကြောင့် လက်မှတ်များကို ရုတ်သိမ်းခြင်း စတင်ခဲ့ခြင်းဖြစ်သည်။ HTTP/2 တွင်အသုံးပြုသည့် ALPN TLS တိုးချဲ့မှုအပေါ်အခြေခံ၍ ချိတ်ဆက်ညှိနှိုင်းမှုလုပ်ငန်းစဉ်အတွင်း လုပ်ဆောင်ခဲ့သော စစ်ဆေးမှုအချို့မရှိခြင်းကြောင့် ကွဲလွဲမှုဖြစ်ခဲ့ရသည်။ ပြဿနာရှိသက်သေခံလက်မှတ်များကို ရုတ်သိမ်းပြီးနောက် အဖြစ်အပျက်နှင့်ပတ်သက်သည့် အသေးစိတ်အချက်အလက်များကို ထုတ်ပြန်မည်ဖြစ်သည်။
ဇန်နဝါရီ 26 ရက် 03:48 (MSK) တွင် ပြဿနာကို ဖြေရှင်းပြီးဖြစ်သော်လည်း အတည်ပြုရန်အတွက် TLS-ALPN-01 နည်းလမ်းကို အသုံးပြု၍ ထုတ်ပေးသည့် လက်မှတ်အားလုံးကို ပျက်ပြယ်သွားစေရန် ဆုံးဖြတ်ခဲ့သည်။ လက်မှတ်များကို ဇန်နဝါရီ 28 ရက်နေ့ 19:00 (MSK) တွင် စတင်ရုတ်သိမ်းမည်ဖြစ်ပါသည်။ ယခုအချိန်အထိ TLS-ALPN-01 စိစစ်ရေးနည်းလမ်းကို အသုံးပြုသည့် သုံးစွဲသူများသည် ၎င်းတို့၏ လက်မှတ်များကို အပ်ဒိတ်လုပ်ရန် အကြံပြုထားပါသည်၊ သို့မဟုတ်ပါက ၎င်းတို့သည် စောစီးစွာ ပျက်ပြယ်သွားမည်ဖြစ်ပါသည်။
လက်မှတ်များကို အပ်ဒိတ်လုပ်ရန် လိုအပ်ကြောင်း သက်ဆိုင်ရာ အကြောင်းကြားချက်များကို အီးမေးလ်ဖြင့် ပေးပို့ပါသည်။ လက်မှတ်ရယူရန် Certbot နှင့် ရေဓာတ်ခန်းခြောက်သောကိရိယာများကို အသုံးပြုသူများသည် ပုံသေဆက်တင်များကို အသုံးပြုသည့်အခါ ပြဿနာကြောင့် ထိခိုက်မှုမရှိပါ။ TLS-ALPN-01 နည်းလမ်းကို Caddy၊ Traefik၊ apache mod_md နှင့် autocert packages များတွင် ပံ့ပိုးထားသည်။ ပြဿနာရှိသော လက်မှတ်များစာရင်းရှိ အမှတ်အသားများ၊ အမှတ်စဉ်နံပါတ်များ သို့မဟုတ် ဒိုမိန်းများကို ရှာဖွေခြင်းဖြင့် သင့်လက်မှတ်များ၏ မှန်ကန်မှုကို စစ်ဆေးနိုင်ပါသည်။
TLS-ALPN-01 နည်းလမ်းကို အသုံးပြု၍ စစ်ဆေးသည့်အခါ အပြောင်းအလဲများသည် အပြုအမူကို ထိခိုက်စေသောကြောင့်၊ ACME ကလိုင်းယင့်ကို အပ်ဒိတ်လုပ်ခြင်း သို့မဟုတ် ဆက်တင်များကို ပြောင်းလဲခြင်း (Caddy၊ bitnami/bn-cert၊ autocert၊ apache mod_md၊ Traefik) ကို ဆက်လက်လုပ်ဆောင်ရန် လိုအပ်ပါသည်။ ပြောင်းလဲမှုများတွင် 1.2 ထက်မနိမ့်သော TLS ဗားရှင်းများကို အသုံးပြုခြင်း (ဖောက်သည်များသည် TLS 1.1 ကို သုံးနိုင်တော့မည် မဟုတ်ပါ) နှင့် အစောပိုင်းတွင်သာ ပံ့ပိုးပေးထားသည့် အသုံးမပြုတော့သော acmeIdentifier တိုးချဲ့မှုကို ဖော်ထုတ်ပေးသည့် OID 1.3.6.1.5.5.7.1.30.1 တို့ကို ကန့်ကွက်ခြင်း၊ RFC 8737 သတ်မှတ်ချက်မူကြမ်းများ (လက်မှတ်တစ်ခုထုတ်ပေးသောအခါ၊ ယခုအခါ OID 1.3.6.1.5.5.7.1.31 ကိုသာခွင့်ပြုထားပြီး OID 1.3.6.1.5.5.7.1.30.1 ကိုအသုံးပြုသောဖောက်သည်များသည် လက်မှတ်ကိုရယူနိုင်မည်မဟုတ်ပါ)။
source: opennet.ru