Let's Encrypt, neprofitni overitelj, ki ga nadzoruje skupnost in vsem brezplačno zagotavlja certifikate, je napovedal predčasni preklic približno dveh milijonov TLS certifikatov, kar je približno 1 % vseh aktivnih certifikatov tega overitelja. Preklic certifikatov je bil sprožen zaradi identifikacije neskladnosti s specifikacijskimi zahtevami v kodi, uporabljeni v Let's Encrypt z implementacijo razširitve TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Do neskladja je prišlo zaradi odsotnosti nekaterih preverjanj, izvedenih med postopkom pogajanj o povezavi na podlagi razširitve ALPN TLS, ki se uporablja v HTTP/2. Podrobne informacije o incidentu bodo objavljene po zaključku preklica problematičnih potrdil.
26. januarja ob 03:48 (MSK) je bila težava odpravljena, vendar so bila vsa potrdila, ki so bila izdana z uporabo metode TLS-ALPN-01 za preverjanje, razveljavljena. Preklic potrdil se bo začel 28. januarja ob 19:00 (MSK). Do takrat uporabnikom, ki uporabljajo metodo preverjanja TLS-ALPN-01, svetujemo, da posodobijo svoja potrdila, sicer bodo predčasno razveljavljena.
Obvestila o potrebi po podaljšanju potrdil so bila poslana po e-pošti. Uporabniki, ki za pridobitev potrdil s privzetimi nastavitvami uporabljajo orodja Certbot in dehidrirana orodja, niso prizadeti. Metoda TLS-ALPN-01 je podprta v paketih Caddy, Traefik, Apache mod_md in autocert. Veljavnost potrdil lahko preverite z iskanjem identifikatorjev, serijskih številk ali domene na seznamu problematičnih potrdil.
Ker spremembe vplivajo na vedenje pri preverjanju z metodo TLS-ALPN-01, je za nadaljnje delo morda treba posodobiti odjemalca ACME ali spremeniti nastavitve (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik). Spremembe vključujejo uporabo različic TLS, ki niso nižje od 1.2 (odjemalci ne bodo mogli več uporabljati TLS 1.1) in opustitev OID 1.3.6.1.5.5.7.1.30.1, ki identificira zastarelo razširitev acmeIdentifier, podprto samo v prejšnjem osnutki specifikacije RFC 8737 (pri generiranju potrdila je zdaj dovoljen samo OID 1.3.6.1.5.5.7.1.31 in odjemalci, ki uporabljajo OID 1.3.6.1.5.5.7.1.30.1, ne bodo mogli pridobiti potrdila).
Vir: opennet.ru
