Ang Let's Encrypt, isang non-profit na awtoridad sa certificate na kinokontrol ng komunidad at nagbibigay ng mga certificate nang walang bayad sa lahat, ay nag-anunsyo ng maagang pagbawi ng humigit-kumulang dalawang milyong TLS certificate, na humigit-kumulang 1% ng lahat ng aktibong certificate ng awtoridad sa certification na ito. Ang pagbawi ng mga sertipiko ay pinasimulan dahil sa pagkakakilanlan ng hindi pagsunod sa mga kinakailangan sa espesipikasyon sa code na ginamit sa Let's Encrypt sa pagpapatupad ng extension ng TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation). Ang pagkakaiba ay dahil sa kawalan ng ilang pagsusuring isinagawa sa panahon ng proseso ng negosasyon sa koneksyon batay sa ALPN TLS extension na ginamit sa HTTP/2. Ang detalyadong impormasyon tungkol sa insidente ay ilalathala pagkatapos makumpleto ang pagbawi ng mga may problemang sertipiko.
Noong Enero 26 sa 03:48 (MSK) ang problema ay naayos, ngunit ang lahat ng mga sertipiko na inisyu gamit ang TLS-ALPN-01 na paraan para sa pag-verify ay napagpasyahan na maging walang bisa. Ang pagbawi ng mga sertipiko ay magsisimula sa Enero 28 sa 19:00 (MSK). Hanggang sa oras na ito, ang mga user na gumagamit ng TLS-ALPN-01 na paraan ng pag-verify ay pinapayuhan na i-update ang kanilang mga certificate, kung hindi, sila ay maagang mawawalan ng bisa.
Ang mga nauugnay na notification tungkol sa pangangailangang mag-update ng mga certificate ay ipinapadala sa pamamagitan ng email. Ang mga user na gumagamit ng Certbot at mga dehydrated na tool upang makakuha ng certificate ay hindi naapektuhan ng isyu kapag ginagamit ang mga default na setting. Ang pamamaraang TLS-ALPN-01 ay sinusuportahan sa mga pakete ng Caddy, Traefik, apache mod_md at autocert. Maaari mong suriin ang kawastuhan ng iyong mga certificate sa pamamagitan ng paghahanap ng mga identifier, serial number o domain sa listahan ng mga may problemang certificate.
Dahil ang mga pagbabago ay nakakaapekto sa gawi kapag nagsusuri gamit ang TLS-ALPN-01 na pamamaraan, ang pag-update sa ACME client o pagbabago ng mga setting (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) ay maaaring kailanganin upang magpatuloy sa pagtatrabaho. Kasama sa mga pagbabago ang paggamit ng mga bersyon ng TLS na hindi bababa sa 1.2 (hindi na magagamit ng mga kliyente ang TLS 1.1) at ang paghinto sa paggamit ng OID 1.3.6.1.5.5.7.1.30.1, na tumutukoy sa hindi na ginagamit na extension ng acmeIdentifier, na sinusuportahan lamang sa naunang draft ng RFC 8737 specification (kapag bumubuo ng certificate, ngayon Tanging OID 1.3.6.1.5.5.7.1.31 ang pinapayagan, at ang mga kliyenteng gumagamit ng OID 1.3.6.1.5.5.7.1.30.1 ay hindi makakakuha ng certificate).
Pinagmulan: opennet.ru