Let's Encrypt, o autoritate de certificare non-profit care este controlată de comunitate și oferă certificate gratuit tuturor, a anunțat revocarea anticipată a aproximativ două milioane de certificate TLS, ceea ce reprezintă aproximativ 1% din toate certificatele active ale acestei autorități de certificare. Revocarea certificatelor a fost inițiată din cauza identificării nerespectării cerințelor de specificație în codul utilizat în Let's Encrypt cu implementarea extensiei TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Discrepanța s-a datorat absenței unor verificări efectuate în timpul procesului de negociere a conexiunii pe baza extensiei ALPN TLS utilizată în HTTP/2. Informații detaliate despre incident vor fi publicate după finalizarea revocării certificatelor problematice.
Pe 26 ianuarie la ora 03:48 (MSK) problema a fost remediată, dar toate certificatele care au fost emise folosind metoda TLS-ALPN-01 pentru verificare au fost decise a fi invalidate. Revocarea certificatelor va începe pe 28 ianuarie la ora 19:00 (MSK). Până în acest moment, utilizatorii care utilizează metoda de verificare TLS-ALPN-01 sunt sfătuiți să-și actualizeze certificatele, în caz contrar, acestea vor fi invalidate mai devreme.
Notificările privind necesitatea reînnoirii certificatelor au fost trimise prin e-mail. Utilizatorii care utilizează Certbot și instrumentele dehydrated pentru a obține certificate cu setări implicite nu sunt afectați de această problemă. Metoda TLS-ALPN-01 este acceptată în pachetele Caddy, Traefik, Apache mod_md și autocert. Puteți verifica validitatea certificatelor dvs. căutând identificatori, numere de serie sau... domenii în lista de certificate problematice.
Deoarece modificările afectează comportamentul la verificarea utilizând metoda TLS-ALPN-01, este posibil să fie necesară actualizarea clientului ACME sau modificarea setărilor (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) pentru a continua lucrul. Modificările includ utilizarea versiunilor TLS nu mai mici de 1.2 (clienții nu vor mai putea folosi TLS 1.1) și deprecierea OID 1.3.6.1.5.5.7.1.30.1, care identifică extensia învechită acmeIdentifier, acceptată doar în perioada anterioară. schițe ale specificației RFC 8737 (la generarea unui certificat, acum este permis doar OID 1.3.6.1.5.5.7.1.31, iar clienții care folosesc OID 1.3.6.1.5.5.7.1.30.1 nu vor putea obține un certificat).
Sursa: opennet.ru
