சமூகத்தால் கட்டுப்படுத்தப்படும் மற்றும் அனைவருக்கும் இலவசமாக சான்றிதழ்களை வழங்கும் ஒரு இலாப நோக்கற்ற சான்றிதழ் ஆணையமான Let's Encrypt, ஏறக்குறைய இரண்டு மில்லியன் TLS சான்றிதழ்களை முன்கூட்டியே திரும்பப் பெறுவதாக அறிவித்தது, இது இந்த சான்றிதழ் ஆணையத்தின் செயலில் உள்ள சான்றிதழ்களில் 1% ஆகும். TLS-ALPN-01 நீட்டிப்பை (RFC 7301, அப்ளிகேஷன்-லேயர் புரோட்டோகால் பேச்சுவார்த்தை) செயல்படுத்துவதன் மூலம் லெட்ஸ் என்க்ரிப்ட் இல் பயன்படுத்தப்படும் குறியீட்டில் உள்ள விவரக்குறிப்புத் தேவைகளுக்கு இணங்கவில்லை என்பதைக் கண்டறிந்ததன் காரணமாக சான்றிதழ்களை திரும்பப் பெறுதல் தொடங்கப்பட்டது. HTTP/2 இல் பயன்படுத்தப்படும் ALPN TLS நீட்டிப்பின் அடிப்படையில் இணைப்பு பேச்சுவார்த்தை செயல்பாட்டின் போது செய்யப்பட்ட சில சோதனைகள் இல்லாததால் இந்த முரண்பாடு ஏற்பட்டது. பிரச்னைக்குரிய சான்றிதழ்கள் ரத்து செய்யப்பட்ட பின், சம்பவம் குறித்த விரிவான தகவல்கள் வெளியிடப்படும்.
ஜனவரி 26 அன்று 03:48 மணிக்கு (MSK) சிக்கல் சரி செய்யப்பட்டது, ஆனால் சரிபார்ப்பதற்காக TLS-ALPN-01 முறையைப் பயன்படுத்தி வழங்கப்பட்ட அனைத்து சான்றிதழ்களும் செல்லாததாக்க முடிவு செய்யப்பட்டன. சான்றிதழ்கள் திரும்பப் பெறுதல் ஜனவரி 28 அன்று 19:00 மணிக்கு (MSK) தொடங்கும். இது வரை, TLS-ALPN-01 சரிபார்ப்பு முறையைப் பயன்படுத்தும் பயனர்கள் தங்கள் சான்றிதழ்களைப் புதுப்பிக்க அறிவுறுத்தப்படுகிறார்கள், இல்லையெனில் அவை முன்கூட்டியே செல்லாதவையாகிவிடும்.
சான்றிதழ்களைப் புதுப்பிக்க வேண்டியதன் அவசியத்தைப் பற்றிய தொடர்புடைய அறிவிப்புகள் மின்னஞ்சல் மூலம் அனுப்பப்படும். ஒரு சான்றிதழைப் பெற Certbot மற்றும் நீரிழப்பு கருவிகளைப் பயன்படுத்தும் பயனர்கள் இயல்புநிலை அமைப்புகளைப் பயன்படுத்தும் போது சிக்கலால் பாதிக்கப்படவில்லை. TLS-ALPN-01 முறை Caddy, Traefik, apache mod_md மற்றும் autocert தொகுப்புகளில் ஆதரிக்கப்படுகிறது. சிக்கல் வாய்ந்த சான்றிதழ்களின் பட்டியலில் அடையாளங்காட்டிகள், வரிசை எண்கள் அல்லது டொமைன்களைத் தேடுவதன் மூலம் உங்கள் சான்றிதழ்களின் சரியான தன்மையை நீங்கள் சரிபார்க்கலாம்.
TLS-ALPN-01 முறையைப் பயன்படுத்திச் சரிபார்க்கும்போது மாற்றங்கள் நடத்தையைப் பாதிக்கும் என்பதால், ACME கிளையண்டைப் புதுப்பித்தல் அல்லது அமைப்புகளை மாற்றுதல் (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) தொடர்ந்து செயல்பட வேண்டியிருக்கும். மாற்றங்களில் TLS பதிப்புகள் 1.2 (வாடிக்கையாளர்களால் இனி TLS 1.1 ஐப் பயன்படுத்த முடியாது) மற்றும் OID 1.3.6.1.5.5.7.1.30.1 க்கான ஆதரவை நிறுத்துதல் ஆகியவை அடங்கும், இது வழக்கற்றுப் போன acmeIdentifier நீட்டிப்பைக் கண்டறியும். RFC 8737 விவரக்குறிப்பின் முந்தைய வரைவுகளில் (சான்றிதழை உருவாக்கும் போது, இப்போது OID 1.3.6.1.5.5.7.1.31 மட்டுமே அனுமதிக்கப்படுகிறது, மேலும் OID 1.3.6.1.5.5.7.1.30.1 ஐப் பயன்படுத்தும் வாடிக்கையாளர்களால் சான்றிதழைப் பெற முடியாது. )
ஆதாரம்: opennet.ru