Let's Encrypt, як ниҳоди ғайритиҷоратии сертификатсия, ки аз ҷониби ҷомеа назорат мешавад ва сертификатҳоро ба ҳама ройгон медиҳад, лағви барвақти тақрибан ду миллион сертификати TLS-ро эълон кард, ки тақрибан 1% ҳамаи сертификатҳои фаъоли ин мақоми сертификатсияро ташкил медиҳад. Бозхонди сертификатҳо бо сабаби муайян кардани номутобиқатӣ ба талаботи мушаххасот дар коде, ки дар Let's Encrypt бо татбиқи тамдиди TLS-ALPN-01 (RFC 7301, Музокироти Протоколи Ариза-Қабати) истифода шудааст, оғоз шудааст. Тафовут бо сабаби набудани баъзе санҷишҳо дар ҷараёни гуфтушуниди пайвастшавӣ дар асоси васеъшавии ALPN TLS, ки дар HTTP/2 истифода мешавад, рух дод. Маълумоти муфассал дар бораи ҳодиса пас аз анҷоми лағви шаҳодатномаҳои мушкилот нашр хоҳад шуд.
26 январ соати 03:48 (MSK) мушкилот ҳал карда шуд, аммо ҳамаи сертификатҳое, ки бо усули TLS-ALPN-01 барои санҷиш дода шудаанд, беэътибор дониста шуданд. Бозхонди шаҳодатномаҳо 28 январ соати 19:00 (MSK) оғоз мешавад. То ин вақт, ба корбароне, ки усули санҷиши TLS-ALPN-01-ро истифода мебаранд, тавсия дода мешавад, ки сертификатҳои худро навсозӣ кунанд, вагарна онҳо барвақт беэътибор хоҳанд шуд.
Огоҳиҳои дахлдор дар бораи зарурати навсозии сертификатҳо тавассути почтаи электронӣ фиристода мешаванд. Корбароне, ки Certbot ва абзорҳои хушкшударо барои гирифтани сертификат истифода мебаранд, ҳангоми истифодаи танзимоти пешфарз ба мушкилот таъсир нарасонданд. Усули TLS-ALPN-01 дар бастаҳои Caddy, Traefik, apache mod_md ва autocert дастгирӣ карда мешавад. Шумо метавонед дурустии шаҳодатномаҳои худро тавассути ҷустуҷӯи идентификаторҳо, рақамҳои силсилавӣ ё доменҳо дар рӯйхати шаҳодатномаҳои мушкилот санҷед.
Азбаски тағирот ба рафтор ҳангоми санҷиш бо истифода аз усули TLS-ALPN-01 таъсир мерасонад, метавонад барои идомаи кор навсозии муштарии ACME ё тағир додани танзимот (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) талаб карда шавад. Тағирот истифодаи версияҳои TLS-и на камтар аз 1.2 (мизоҷон дигар наметавонанд TLS 1.1-ро истифода баранд) ва қатъи дастгирии OID 1.3.6.1.5.5.7.1.30.1, ки васеъшавии кӯҳнашудаи acmeIdentifier-ро муайян мекунад, иборат аст, ки танҳо дастгирӣ карда мешавад. дар лоиҳаҳои қаблии мушаххасоти RFC 8737 (ҳангоми тавлиди шаҳодатнома ҳоло танҳо OID 1.3.6.1.5.5.7.1.31 иҷозат дода мешавад ва муштариёне, ки OID 1.3.6.1.5.5.7.1.30.1-ро истифода мебаранд, наметавонанд сертификат гиранд ).
Манбаъ: opennet.ru