Let's Encrypt, komunitná nezisková certifikačná autorita (CA), ktorá poskytuje bezplatné certifikáty komukoľvek, oznámila predčasné zrušenie približne dvoch miliónov certifikátov TLS, čo predstavuje približne 1 % všetkých aktívnych certifikátov vydaných CA. Zrušenie bolo iniciované z dôvodu nedodržania požiadaviek špecifikácie v kóde Let's Encrypt implementujúcom rozšírenie TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Nedodržanie bolo spôsobené absenciou určitých kontrol vykonaných počas vyjednávania pripojenia na základe rozšírenia TLS ALPN, ktoré sa používa v HTTP/2. Podrobné informácie o incidente budú zverejnené po dokončení zrušenia dotknutých certifikátov.
Dňa 26. januára o 03:48 (MSK) bol problém vyriešený, ale všetky certifikáty vydané pomocou overovacej metódy TLS-ALPN-01 boli zrušené. Zrušenie certifikátu začne 28. januára o 19:00 (MSK). Používateľom používajúcim overovaciu metódu TLS-ALPN-01 sa odporúča, aby si svoje certifikáty obnovili pred týmto časom, inak budú predčasne zrušené.
Upozornenia o potrebe obnovenia certifikátov boli odoslané e-mailom. Používatelia, ktorí používajú nástroje Certbot a dehydratované nástroje na získanie certifikátov s predvolenými nastaveniami, nie sú týmto problémom ovplyvnení. Metóda TLS-ALPN-01 je podporovaná v balíkoch Caddy, Traefik, Apache mod_md a autocert. Platnosť svojich certifikátov môžete overiť vyhľadávaním identifikátorov, sériových čísel alebo... доменов v zozname problematických certifikátov.
Keďže tieto zmeny ovplyvňujú správanie overovania TLS-ALPN-01, na pokračovanie fungovania môže byť potrebná aktualizácia klienta ACME alebo zmeny konfigurácie (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Zmeny sa obmedzujú na používanie verzií TLS nie nižších ako 1.2 (klienti už nebudú môcť používať TLS 1.1) a ukončenie podpory pre OID 1.3.6.1.5.5.7.1.30.1, ktoré identifikuje zastarané rozšírenie acmeIdentifier podporované iba v skorých verziách špecifikácie RFC 8737 (pri generovaní certifikátu je teraz povolený iba OID 1.3.6.1.5.5.7.1.31 a klienti používajúci OID 1.3.6.1.5.5.7.1.30.1 nebudú môcť získať certifikát).
Zdroj: opennet.ru
