Let's Encrypt, një autoritet certifikimi (CA) jofitimprurës i drejtuar nga komuniteti që ofron certifikata falas për këdo, njoftoi revokimin e parakohshëm të afërsisht dy milionë certifikatave TLS, që përfaqësojnë afërsisht 1% të të gjitha certifikatave aktive të lëshuara nga CA. Revokimi u iniciua për shkak të një mospërputhjeje me kërkesat e specifikimit në kodin e Let's Encrypt që zbaton zgjerimin TLS-ALPN-01 (RFC 7301, Negocimi i Protokollit të Shtresës së Aplikacionit). Mospërputhja ishte për shkak të mungesës së disa kontrolleve të kryera gjatë negocimit të lidhjes bazuar në zgjerimin TLS ALPN, të përdorur në HTTP/2. Informacion i detajuar rreth incidentit do të publikohet pasi të përfundojë revokimi i certifikatave të prekura.
Më 26 janar në orën 03:48 të mëngjesit (MSK), problemi u zgjidh, por të gjitha certifikatat e lëshuara duke përdorur metodën e verifikimit TLS-ALPN-01 u pavlefshme. Revokimi i certifikatave do të fillojë më 28 janar në orën 19:00 të mbrëmjes (MSK). Përdoruesve që përdorin metodën e verifikimit TLS-ALPN-01 u këshillohet të rinovojnë certifikatat e tyre para kësaj kohe, përndryshe ato do të pavlefshmen para kohe.
Njoftimet në lidhje me nevojën për të rinovuar certifikatat janë dërguar me email. Përdoruesit që përdorin Certbot dhe mjetet e dehidratuara për të marrë certifikata me cilësimet fillestare nuk preken nga problemi. Metoda TLS-ALPN-01 mbështetet në paketat Caddy, Traefik, Apache mod_md dhe autocert. Ju mund të verifikoni vlefshmërinë e certifikatave tuaja duke kërkuar identifikues, numra serialë ose domene në listën e certifikatave problematike.
Meqenëse këto ndryshime ndikojnë në sjelljen e verifikimit TLS-ALPN-01, mund të kërkohet një përditësim i klientit ACME ose ndryshime në konfigurim (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) për të vazhduar punën. Ndryshimet reduktohen në përdorimin e versioneve TLS jo më të ulëta se 1.2 (klientët nuk do të jenë më në gjendje të përdorin TLS 1.1) dhe ndërprerjen e mbështetjes për OID 1.3.6.1.5.5.7.1.30.1, i cili identifikon zgjatimin e vjetëruar acmeIdentifier të mbështetur vetëm në draftet e hershme të specifikimit RFC 8737 (kur gjenerohet një certifikatë, tani lejohet vetëm OID 1.3.6.1.5.5.7.1.31, dhe klientët që përdorin OID 1.3.6.1.5.5.7.1.30.1 nuk do të jenë në gjendje të marrin një certifikatë).
Burimi: opennet.ru
