Лет'с Енцрипт, непрофитни ауторитет за сертификацију који је под контролом заједнице и који обезбеђује сертификате бесплатно свима, најавио је превремени опозив приближно два милиона ТЛС сертификата, што је око 1% свих активних сертификата овог сертификационог тела. Опозив сертификата је инициран због идентификације неусаглашености са захтевима спецификације у коду који се користи у Лет'с Енцрипт са имплементацијом ТЛС-АЛПН-01 екстензије (РФЦ 7301, Апплицатион-Лаиер Протоцол Неготиатион). Неподударност је настала због одсуства неких провера извршених током процеса преговарања о вези на основу АЛПН ТЛС екстензије која се користи у ХТТП/2. Детаљне информације о инциденту биће објављене након што се заврши опозив проблематичних сертификата.
26. јануара у 03:48 (МСК) проблем је отклоњен, али је одлучено да се пониште сви сертификати који су издати помоћу ТЛС-АЛПН-01 методе за верификацију. Опозив сертификата почиње 28. јануара у 19:00 (МСК). До овог тренутка, корисницима који користе метод верификације ТЛС-АЛПН-01 се саветује да ажурирају своје сертификате, у супротном ће они бити раније поништени.
Обавештења о потреби обнављања сертификата су послата путем е-поште. Корисници који користе Certbot и дехидриране алате за добијање сертификата са подразумеваним подешавањима нису погођени овим проблемом. TLS-ALPN-01 метод је подржан у пакетима Caddy, Traefik, Apache mod_md и autocert. Можете проверити валидност својих сертификата претраживањем идентификатора, серијских бројева или доменов на листи проблематичних сертификата.
Пошто промене утичу на понашање приликом провере коришћењем методе ТЛС-АЛПН-01, можда ће бити потребно ажурирање АЦМЕ клијента или промена подешавања (Цадди, битнами/бн-церт, аутоцерт, апацхе мод_мд, Траефик) да би се наставило са радом. Промене обухватају употребу ТЛС верзија које нису ниже од 1.2 (клијенти више неће моћи да користе ТЛС 1.1) и застарелост ОИД 1.3.6.1.5.5.7.1.30.1, који идентификује застарело проширење ацмеИдентифиер, подржано само у ранијим верзијама нацрти спецификације РФЦ 8737 (приликом генерисања сертификата, сада је дозвољен само ОИД 1.3.6.1.5.5.7.1.31, а клијенти који користе ОИД 1.3.6.1.5.5.7.1.30.1 неће моћи да добију сертификат).
Извор: опеннет.ру
