Let's Encrypt, otoritas sertipikat nirlaba anu dikawasa ku komunitas sareng nyayogikeun sertipikat gratis ka sadayana, ngumumkeun panyabutan awal kira-kira dua juta sertipikat TLS, nyaéta sakitar 1% tina sadaya sertipikat aktif otoritas sertifikasi ieu. The panyabutan sertipikat ieu ngagagas alatan idéntifikasi non-patuh syarat spésifikasi dina kode dipaké dina Hayu Encrypt kalawan palaksanaan extension TLS-ALPN-01 (RFC 7301, Aplikasi-Lapisan Protocol Negotiation). Beda ieu alatan henteuna sababaraha cék dipigawé salila prosés badami sambungan dumasar kana extension ALPN TLS dipaké dina HTTP / 2. Inpormasi lengkep ngeunaan kajadian éta bakal diterbitkeun saatos panyabutan sertipikat masalah parantos réngsé.
Dina 26 Januari jam 03:48 (MSK) masalah ieu dibereskeun, tapi sagala sertipikat anu dikaluarkeun ngagunakeun métode TLS-ALPN-01 pikeun verifikasi mutuskeun pikeun jadi invalidated. Pencabutan sertipikat bakal dimimitian dina 28 Januari jam 19:00 (MSK). Dugi ka waktos ieu, pangguna anu nganggo metode verifikasi TLS-ALPN-01 disarankan pikeun ngapdet sertipikatna, upami henteu, aranjeunna bakal dibatalkeun awal.
Bewara anu relevan ngeunaan kabutuhan ngapdet sertipikat dikirim ku email. Pamaké anu nganggo Certbot sareng alat dehidrasi pikeun kéngingkeun sertipikat henteu kapangaruhan ku masalah nalika nganggo setélan standar. Metodeu TLS-ALPN-01 dirojong dina bungkusan Caddy, Traefik, Apache mod_md sareng autocert. Anjeun tiasa pariksa kabeneran sertipikat anjeun ku milarian identifier, nomer séri atanapi domain dina daptar sertipikat anu bermasalah.
Kusabab parobahan mangaruhan paripolah nalika mariksa ngagunakeun métode TLS-ALPN-01, ngamutahirkeun klien ACME atawa ngarobah setelan (Caddy, bitnami / bn-cert, autocert, Apache mod_md, Traefik) bisa jadi diperlukeun pikeun neruskeun gawé. Parobahan kaasup pamakéan versi TLS teu leuwih handap 1.2 (klien moal deui bisa ngagunakeun TLS 1.1) jeung discontinuation rojongan pikeun OID 1.3.6.1.5.5.7.1.30.1, nu ngaidentipikasi extension acmeIdentifier luntur, dirojong wungkul. dina draf saméméhna tina RFC 8737 spésifikasi (nalika ngahasilkeun sertipikat, ayeuna Ngan OID 1.3.6.1.5.5.7.1.31 diwenangkeun, sarta klien maké OID 1.3.6.1.5.5.7.1.30.1 moal bisa ménta sertipikat. ).
sumber: opennet.ru