Topluluk tarafından kontrol edilen ve herkese ücretsiz olarak sertifika sağlayan, kâr amacı gütmeyen bir sertifika yetkilisi olan Let's Encrypt, bu sertifika yetkilisinin tüm aktif sertifikalarının yaklaşık %1'ini oluşturan yaklaşık iki milyon TLS sertifikasının erken iptalini duyurdu. TLS-ALPN-01 uzantısının (RFC 7301, Uygulama-Katman Protokol Anlaşması) hayata geçirilmesiyle Let's Encrypt'te kullanılan kodda spesifikasyon gereksinimlerine uyulmadığının belirlenmesi nedeniyle sertifikaların iptali başlatıldı. Tutarsızlığın nedeni, HTTP/2'de kullanılan ALPN TLS uzantısına dayalı olarak bağlantı anlaşması işlemi sırasında gerçekleştirilen bazı kontrollerin olmamasıydı. Sorunlu sertifikaların iptali tamamlandıktan sonra olayla ilgili detaylı bilgi yayınlanacak.
26 Ocak 03:48'de (MSK) sorun giderildi ancak doğrulama için TLS-ALPN-01 yöntemi kullanılarak verilen tüm sertifikaların geçersiz kılınmasına karar verildi. Sertifikaların iptali 28 Ocak saat 19'dan (MSK) itibaren başlayacaktır. Bu zamana kadar TLS-ALPN-00 doğrulama yöntemini kullanan kullanıcıların sertifikalarını güncellemeleri tavsiye ediliyor, aksi takdirde erkenden geçersiz kılınacaklardır.
Sertifikaların güncellenmesi ihtiyacına ilişkin ilgili bildirimler e-postayla gönderilir. Sertifika almak için Certbot'u ve kurutulmuş araçları kullanan kullanıcılar, varsayılan ayarları kullanırken sorundan etkilenmedi. TLS-ALPN-01 yöntemi Caddy, Traefik, apache mod_md ve autocert paketlerinde desteklenmektedir. Sorunlu sertifikalar listesinde tanımlayıcıları, seri numaralarını veya alan adlarını arayarak sertifikalarınızın doğruluğunu kontrol edebilirsiniz.
Değişiklikler TLS-ALPN-01 yöntemini kullanarak kontrol yaparken davranışı etkilediğinden, çalışmaya devam etmek için ACME istemcisinin güncellenmesi veya ayarların (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) değiştirilmesi gerekebilir. Değişiklikler arasında 1.2'den düşük olmayan TLS sürümlerinin kullanılması (istemciler artık TLS 1.1'i kullanamayacak) ve yalnızca daha önceki sürümlerde desteklenen eski acmeIdentifier uzantısını tanımlayan OID 1.3.6.1.5.5.7.1.30.1'in kullanımdan kaldırılması yer alıyor. RFC 8737 spesifikasyonunun taslakları (sertifika oluştururken artık Yalnızca OID 1.3.6.1.5.5.7.1.31'e izin verilmektedir ve OID 1.3.6.1.5.5.7.1.30.1 kullanan istemciler sertifika alamayacaktır).
Kaynak: opennet.ru