Let's Encrypt, nezisková certifikačná autorita, ktorá je kontrolovaná komunitou a poskytuje certifikáty bezplatne každému, oznámila predčasné zrušenie približne dvoch miliónov TLS certifikátov, čo je asi 1 % všetkých aktívnych certifikátov tejto certifikačnej autority. Zrušenie certifikátov bolo iniciované z dôvodu identifikácie nesúladu so špecifikačnými požiadavkami v kóde použitom v Let's Encrypt s implementáciou rozšírenia TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Nezrovnalosť bola spôsobená nedostatkom určitých kontrol vykonaných počas procesu vyjednávania o pripojení na základe rozšírenia ALPN TLS používaného v HTTP/2. Podrobné informácie o incidente budú zverejnené po dokončení zneplatnenia problematických certifikátov.
26. januára o 03:48 (MSK) bol problém vyriešený, ale všetky certifikáty, ktoré boli vydané pomocou metódy TLS-ALPN-01 na overenie, sa rozhodli zneplatniť. Zrušenie certifikátov sa začne 28. januára o 19:00 (MSK). Do tejto doby sa používateľom, ktorí používajú metódu overovania TLS-ALPN-01, odporúča aktualizovať svoje certifikáty, inak budú predčasne zneplatnené.
Príslušné upozornenia o potrebe aktualizácie certifikátov sú zasielané e-mailom. Používatelia používajúci Certbot a dehydrované nástroje na získanie certifikátu neboli ovplyvnení týmto problémom pri použití predvolených nastavení. Metóda TLS-ALPN-01 je podporovaná v balíkoch Caddy, Traefik, apache mod_md a autocert. Správnosť vašich certifikátov si môžete skontrolovať vyhľadaním identifikátorov, sériových čísel alebo domén v zozname problematických certifikátov.
Keďže zmeny ovplyvňujú správanie pri kontrole pomocou metódy TLS-ALPN-01, môže byť pre pokračovanie v práci potrebná aktualizácia klienta ACME alebo zmena nastavení (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Zmeny zahŕňajú používanie verzií TLS nie nižšej ako 1.2 (klienti už nebudú môcť používať TLS 1.1) a ukončenie podpory pre OID 1.3.6.1.5.5.7.1.30.1, ktorý identifikuje zastarané rozšírenie acmeIdentifier, podporované iba v starších návrhoch špecifikácie RFC 8737 (pri generovaní certifikátu je teraz povolené iba OID 1.3.6.1.5.5.7.1.31 a klienti používajúci OID 1.3.6.1.5.5.7.1.30.1 nebudú môcť získať certifikát ).
Zdroj: opennet.ru