Let's Encrypt, mamlaka ya cheti kisicho cha faida ambayo inadhibitiwa na jumuiya na kutoa vyeti bila malipo kwa kila mtu, ilitangaza ubatilishaji wa mapema wa takriban vyeti milioni mbili vya TLS, ambayo ni takriban 1% ya vyeti vyote vilivyotumika vya mamlaka hii ya uthibitishaji. Ubatilishaji wa vyeti ulianzishwa kwa sababu ya kutambuliwa kwa kutotii mahitaji ya ubainishaji katika msimbo unaotumika katika Let's Encrypt pamoja na utekelezaji wa kiendelezi cha TLS-ALPN-01 (RFC 7301, Majadiliano ya Itifaki ya Tabaka la Maombi). Tofauti hiyo ilitokana na kutokuwepo kwa baadhi ya ukaguzi uliofanywa wakati wa mchakato wa mazungumzo ya muunganisho kulingana na kiendelezi cha ALPN TLS kinachotumika katika HTTP/2. Taarifa za kina kuhusu tukio hilo zitachapishwa baada ya ubatilishaji wa vyeti vyenye matatizo kukamilika.
Mnamo Januari 26 saa 03:48 (MSK) tatizo lilirekebishwa, lakini vyeti vyote vilivyotolewa kwa kutumia mbinu ya TLS-ALPN-01 kwa uthibitishaji viliamuliwa kuwa batili. Kufutwa kwa vyeti kutaanza Januari 28 saa 19:00 (MSK). Hadi wakati huu, watumiaji wanaotumia njia ya uthibitishaji ya TLS-ALPN-01 wanashauriwa kusasisha vyeti vyao, vinginevyo vitabatilishwa mapema.
Arifa husika kuhusu hitaji la kusasisha vyeti hutumwa kwa barua pepe. Watumiaji wanaotumia Certbot na zana zisizo na maji ili kupata cheti hawakuathiriwa na suala wakati wa kutumia mipangilio chaguo-msingi. Mbinu ya TLS-ALPN-01 inatumika katika vifurushi vya Caddy, Traefik, apache mod_md na autocert. Unaweza kuangalia usahihi wa vyeti vyako kwa kutafuta vitambulisho, nambari za mfululizo au vikoa katika orodha ya vyeti vyenye matatizo.
Kwa kuwa mabadiliko huathiri tabia wakati wa kuangalia kwa kutumia mbinu ya TLS-ALPN-01, kusasisha mteja wa ACME au kubadilisha mipangilio (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) inaweza kuhitajika ili kuendelea kufanya kazi. Mabadiliko hayo yanajumuisha utumiaji wa matoleo ya TLS yasiyopungua 1.2 (wateja hawataweza tena kutumia TLS 1.1) na kuacha kutumia OID 1.3.6.1.5.5.7.1.30.1, ambayo inabainisha kiendelezi cha kizamani cha acmeIdentifier, kinachotumika mapema tu. rasimu za vipimo vya RFC 8737 (wakati wa kutoa cheti, sasa OID 1.3.6.1.5.5.7.1.31 pekee ndiyo inaruhusiwa, na wateja wanaotumia OID 1.3.6.1.5.5.7.1.30.1 hawataweza kupata cheti).
Chanzo: opennet.ru