🥇Let's Encrypt သည် TLS-ALPN-2 အကောင်အထည်ဖော်မှုတွင် ပြဿနာများကြောင့် လက်မှတ်ပေါင်း 01 သန်းကို ရုပ်သိမ်းလိုက်

အခမဲ့လက်မှတ်များကို လိုချင်သူတိုင်းအား ပေးဆောင်သည့် အကျိုးအမြတ်မယူသော ရပ်ရွာထိန်းချုပ်သော လက်မှတ်အာဏာပိုင် Let's Encrypt သည် ဤ CA ၏ အသက်ဝင်သော လက်မှတ်အားလုံး၏ 1% ခန့်ဖြစ်သည့် TLS လက်မှတ် နှစ်သန်းခန့်ကို အစောပိုင်းတွင် ရုတ်သိမ်းကြောင်း ကြေညာခဲ့သည်။ Let's Encrypt တွင် TLS-ALPN-01 တိုးချဲ့မှု (RFC 7301၊ Application-Layer Protocol Negotiation) ကို အကောင်အထည်ဖော်ခြင်းဖြင့် Let's Encrypt တွင် အသုံးပြုသည့် ကုဒ်တွင် သတ်မှတ်ချက်သတ်မှတ်ချက်များနှင့် မကိုက်ညီကြောင်း တွေ့ရှိခြင်းကြောင့် လက်မှတ်များကို ရုတ်သိမ်းခြင်း စတင်ခဲ့ခြင်းဖြစ်သည်။ HTTP/2 တွင်အသုံးပြုသည့် ALPN TLS တိုးချဲ့မှုကို အခြေခံ၍ ချိတ်ဆက်မှုများညှိနှိုင်းမှုအတွင်း လုပ်ဆောင်ခဲ့သော စစ်ဆေးမှုအချို့ကို မလိုက်နာခြင်းကြောင့်ဖြစ်သည်။ ပြဿနာရှိသက်သေခံလက်မှတ်များကို ရုတ်သိမ်းပြီးနောက် အဖြစ်အပျက်နှင့်ပတ်သက်သည့် အသေးစိတ်အချက်အလက်များကို ထုတ်ပြန်မည်ဖြစ်သည်။

ဇန်နဝါရီ 26 ရက် 03:48 (MSK) တွင် ပြဿနာကို ဖြေရှင်းပြီးဖြစ်သော်လည်း TLS-ALPN-01 စိစစ်ရေးနည်းလမ်းကို အသုံးပြု၍ ထုတ်ပေးထားသော လက်မှတ်အားလုံးကို ပျက်ပြယ်သွားစေရန် ဆုံးဖြတ်ခဲ့သည်။ လက်မှတ်ရုတ်သိမ်းခြင်းကို ဇန်နဝါရီ ၂၈ ရက် ၁၉ နာရီ (MSK) တွင် စတင်မည်ဖြစ်သည်။ ထိုအချိန်မတိုင်မီတွင်၊ TLS-ALPN-28 စိစစ်ရေးနည်းလမ်းကို အသုံးပြုသည့် သုံးစွဲသူများသည် ၎င်းတို့၏ လက်မှတ်များကို အပ်ဒိတ်လုပ်ရန် အကြံပြုထားပြီး မဟုတ်ပါက ၎င်းတို့သည် စောစောစီးစီး ပျက်ပြယ်သွားမည်ဖြစ်သည်။

လက်မှတ်များ သက်တမ်းတိုးရန် လိုအပ်ကြောင်း အကြောင်းကြားချက်များကို အီးမေးလ်ဖြင့် ပေးပို့ထားပါသည်။ မူရင်းဆက်တင်များဖြင့် လက်မှတ်များရယူရန် Certbot နှင့် dehydrated tools များကို အသုံးပြုသော အသုံးပြုသူများသည် ဤပြဿနာကြောင့် ထိခိုက်မှုမရှိပါ။ TLS-ALPN-01 နည်းလမ်းကို Caddy၊ Traefik၊ Apache mod_md နှင့် autocert package များတွင် ပံ့ပိုးပေးထားပါသည်။ identifier များ၊ serial number များ သို့မဟုတ် ရှာဖွေခြင်းဖြင့် သင်၏လက်မှတ်များ၏ တရားဝင်မှုကို အတည်ပြုနိုင်ပါသည်။ ဒိုမိန်းများ ပြဿနာရှိသော လက်မှတ်များစာရင်းတွင်။

TLS-ALPN-01 နည်းလမ်းဖြင့် စစ်ဆေးသည့်အခါ အပြောင်းအလဲများသည် အပြုအမူအပေါ် သက်ရောက်မှုရှိသောကြောင့်၊ ACME ကလိုင်းယင့် အပ်ဒိတ် သို့မဟုတ် ဖွဲ့စည်းမှုပုံစံပြောင်းလဲမှုများ (Caddy၊ bitnami/bn-cert၊ autocert၊ apache mod_md၊ Traefik) ကို ဆက်လက်လုပ်ဆောင်ရန် လိုအပ်ပါသည်။ ပြောင်းလဲမှုများသည် 1.2 ထက်မနိမ့်သော TLS ဗားရှင်းများကို အသုံးပြုခြင်းသို့ အကျုံးဝင်သည် (ဖောက်သည်များသည် TLS 1.1 ကို အသုံးပြု၍မရတော့ပါ) နှင့် OID 1.3.6.1.5.5.7.1.30.1 အတွက် အသုံးမပြုတော့သော acmeIdentifier extension ကို အစောပိုင်းမူကြမ်းများတွင်သာ ပံ့ပိုးပေးသည့် RFC whenID အသိအမှတ်ပြုလက်မှတ် (ဗီဇ 8737 သတ်မှတ်ချက်မူကြမ်းကိုသာ ဖော်ထုတ်ပေးသည့် OID 1.3.6.1.5.5.7.1.31 1.3.6.1.5.5.7.1.30.1 ကို ယခုခွင့်ပြုထားပြီး OID XNUMX အသုံးပြုသူများသည် လက်မှတ်ကို ရယူနိုင်မည်မဟုတ်ပါ)။

source: opennet.ru

TLS-ALPN-2 အကောင်အထည်ဖော်မှုတွင် ပြဿနာများကြောင့် လက်မှတ်ပေါင်း 01 သန်းကို ကုဒ်ကုဒ်ဖျက်လိုက်ကြပါစို့။