🥇TLS-ALPN-01 అమలులో సమస్యల కారణంగా లెట్స్ ఎన్‌క్రిప్ట్ 2 మిలియన్ల సర్టిఫికేట్‌లను రద్దు చేసింది

ఎవరికైనా ఉచిత సర్టిఫికేట్లను అందించే, కమ్యూనిటీచే నిర్వహించబడే లాభాపేక్షలేని సర్టిఫికేట్ అథారిటీ (CA) అయిన లెట్స్ ఎన్‌క్రిప్ట్, తమ CA జారీ చేసిన అన్ని యాక్టివ్ సర్టిఫికేట్లలో సుమారు 1%కి సమానమైన దాదాపు రెండు మిలియన్ల TLS సర్టిఫికేట్లను ముందుగానే రద్దు చేస్తున్నట్లు ప్రకటించింది. TLS-ALPN-01 ఎక్స్‌టెన్షన్ (RFC 7301, అప్లికేషన్-లేయర్ ప్రోటోకాల్ నెగోషియేషన్)ను అమలుచేస్తున్న లెట్స్ ఎన్‌క్రిప్ట్ కోడ్‌లో స్పెసిఫికేషన్ అవసరాలకు అనుగుణంగా లేకపోవడం వల్ల ఈ రద్దు ప్రక్రియ ప్రారంభించబడింది. HTTP/2లో ఉపయోగించే ALPN TLS ఎక్స్‌టెన్షన్ ఆధారంగా కనెక్షన్ నెగోషియేషన్ సమయంలో కొన్ని తనిఖీలు నిర్వహించకపోవడమే ఈ అనుగుణ్యత లేకపోవడానికి కారణం. ప్రభావిత సర్టిఫికేట్ల రద్దు పూర్తయిన తర్వాత ఈ సంఘటనకు సంబంధించిన పూర్తి వివరాలు ప్రచురించబడతాయి.

జనవరి 26న ఉదయం 03:48 గంటలకు (MSK) సమస్య పరిష్కరించబడింది, కానీ TLS-ALPN-01 ధృవీకరణ పద్ధతిని ఉపయోగించి జారీ చేసిన అన్ని సర్టిఫికేట్‌లు చెల్లనివిగా ప్రకటించబడ్డాయి. సర్టిఫికేట్ రద్దు ప్రక్రియ జనవరి 28న సాయంత్రం 19:00 గంటలకు (MSK) ప్రారంభమవుతుంది. TLS-ALPN-01 ధృవీకరణ పద్ధతిని ఉపయోగించే వినియోగదారులు ఈ సమయానికి ముందే తమ సర్టిఫికేట్‌లను పునరుద్ధరించుకోవాలని సూచించడమైనది, లేకపోతే అవి ముందుగానే చెల్లనివిగా ప్రకటించబడతాయి.

సర్టిఫికెట్లను పునరుద్ధరించుకోవాల్సిన అవసరం గురించి ఇమెయిల్ ద్వారా నోటిఫికేషన్‌లు పంపబడ్డాయి. డిఫాల్ట్ సెట్టింగ్‌లతో సర్టిఫికెట్లను పొందడానికి సెర్ట్‌బాట్ మరియు డీహైడ్రేటెడ్ టూల్స్‌ను ఉపయోగించే వినియోగదారులకు ఈ సమస్య వర్తించదు. TLS-ALPN-01 పద్ధతి క్యాడీ, ట్రాఫిక్, అపాచీ mod_md, మరియు ఆటోసర్ట్ ప్యాకేజీలలో సపోర్ట్ చేయబడుతుంది. ఐడెంటిఫైయర్‌లు, సీరియల్ నంబర్‌లు లేదా ఇతర వివరాల కోసం వెతకడం ద్వారా మీరు మీ సర్టిఫికెట్ల చెల్లుబాటును ధృవీకరించుకోవచ్చు. డొమైన్‌లు సమస్యాత్మక సర్టిఫికెట్ల జాబితాలో.

ఈ మార్పులు TLS-ALPN-01 ధృవీకరణ యొక్క ప్రవర్తనను ప్రభావితం చేస్తాయి కాబట్టి, పని కొనసాగించడానికి ACME క్లయింట్ అప్‌డేట్ లేదా కాన్ఫిగరేషన్ మార్పులు (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) అవసరం కావచ్చు. ఈ మార్పుల సారాంశం ఏమిటంటే, TLS వెర్షన్లు 1.2 కంటే తక్కువ కాకుండా వాడాలి (క్లయింట్లు ఇకపై TLS 1.1ని ఉపయోగించలేరు) మరియు OID 1.3.6.1.5.5.7.1.30.1కు మద్దతును నిలిపివేయడం. ఈ OID, RFC 8737 స్పెసిఫికేషన్ యొక్క తొలి డ్రాఫ్ట్‌లలో మాత్రమే మద్దతు ఉన్న, వాడుకలో లేని acmeIdentifier ఎక్స్‌టెన్షన్‌ను గుర్తిస్తుంది (సర్టిఫికెట్‌ను రూపొందించేటప్పుడు, ఇప్పుడు OID 1.3.6.1.5.5.7.1.31 మాత్రమే అనుమతించబడుతుంది, మరియు OID 1.3.6.1.5.5.7.1.30.1ని ఉపయోగించే క్లయింట్లు సర్టిఫికేట్‌ను పొందలేరు).

మూలం: opennet.ru

TLS-ALPN-2 అమలులో సమస్యల కారణంగా 01 మిలియన్ సర్టిఫికెట్‌లను ఎన్‌క్రిప్ట్ చేద్దాం