Let's Encrypt ซึ่งเป็นหน่วยงานออกใบรับรองที่ไม่แสวงหากำไรซึ่งควบคุมโดยชุมชนและมอบใบรับรองโดยไม่คิดค่าใช้จ่ายให้กับทุกคน ได้ประกาศการเพิกถอนใบรับรอง TLS ประมาณสองล้านใบก่อนกำหนด ซึ่งคิดเป็นประมาณ 1% ของใบรับรองที่ใช้งานอยู่ทั้งหมดของหน่วยงานออกใบรับรองนี้ การเพิกถอนใบรับรองเริ่มต้นขึ้นเนื่องจากการระบุการไม่ปฏิบัติตามข้อกำหนดข้อมูลจำเพาะในโค้ดที่ใช้ใน Let's Encrypt พร้อมการใช้งานส่วนขยาย TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation) ความคลาดเคลื่อนเกิดจากการไม่มีการตรวจสอบบางอย่างที่ดำเนินการในระหว่างขั้นตอนการเจรจาการเชื่อมต่อตามส่วนขยาย ALPN TLS ที่ใช้ใน HTTP/2 ข้อมูลโดยละเอียดเกี่ยวกับเหตุการณ์ดังกล่าวจะได้รับการเผยแพร่หลังจากการเพิกถอนใบรับรองที่เป็นปัญหาเสร็จสิ้นแล้ว
ในวันที่ 26 มกราคม เวลา 03:48 น. (MSK) ปัญหาได้รับการแก้ไขแล้ว แต่ใบรับรองทั้งหมดที่ออกโดยใช้วิธี TLS-ALPN-01 สำหรับการตรวจสอบกลับถูกตัดสินว่าไม่ถูกต้อง การเพิกถอนใบรับรองจะเริ่มในวันที่ 28 มกราคม เวลา 19:00 น. (MSK) ถึงเวลานี้ ขอแนะนำให้ผู้ใช้ที่ใช้วิธีการยืนยัน TLS-ALPN-01 อัปเดตใบรับรอง มิฉะนั้นจะใช้งานไม่ได้ก่อนกำหนด
มีการส่งอีเมลแจ้งเตือนเกี่ยวกับการต่ออายุใบรับรองแล้ว ผู้ใช้ที่ใช้ Certbot และเครื่องมือ dehydrated ในการขอใบรับรองด้วยการตั้งค่าเริ่มต้นจะไม่ได้รับผลกระทบจากปัญหานี้ วิธีการ TLS-ALPN-01 รองรับในแพ็กเกจ Caddy, Traefik, Apache mod_md และ autocert คุณสามารถตรวจสอบความถูกต้องของใบรับรองได้โดยการค้นหาตัวระบุ หมายเลขซีเรียล หรือ โดเมน ในรายการใบรับรองที่มีปัญหา
เนื่องจากการเปลี่ยนแปลงส่งผลต่อลักษณะการทำงานเมื่อตรวจสอบโดยใช้วิธี TLS-ALPN-01 การอัพเดตไคลเอนต์ ACME หรือการเปลี่ยนแปลงการตั้งค่า (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) อาจจำเป็นต้องทำงานต่อไป การเปลี่ยนแปลงนี้รวมถึงการใช้ TLS เวอร์ชันไม่ต่ำกว่า 1.2 (ไคลเอนต์จะไม่สามารถใช้ TLS 1.1 ได้อีกต่อไป) และการเลิกใช้งาน OID 1.3.6.1.5.5.7.1.30.1 ซึ่งระบุส่วนขยาย acmeIdentifier ที่ล้าสมัย ซึ่งรองรับในเวอร์ชันก่อนหน้าเท่านั้น แบบร่างของข้อกำหนด RFC 8737 (เมื่อสร้างใบรับรอง ตอนนี้อนุญาตเฉพาะ OID 1.3.6.1.5.5.7.1.31 เท่านั้น และไคลเอนต์ที่ใช้ OID 1.3.6.1.5.5.7.1.30.1 จะไม่สามารถรับใบรับรองได้)
ที่มา: opennet.ru
