پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > آئیے انکرپٹ TLS-ALPN-2 کے نفاذ میں دشواریوں کی وجہ سے 01 ملین سرٹیفکیٹس کو منسوخ کرتا ہے۔

آئیے انکرپٹ TLS-ALPN-2 کے نفاذ میں دشواریوں کی وجہ سے 01 ملین سرٹیفکیٹس کو منسوخ کرتا ہے۔

Let's Encrypt، ایک غیر منافع بخش سرٹیفکیٹ اتھارٹی جو کمیونٹی کے زیر کنٹرول ہے اور ہر کسی کو مفت سرٹیفکیٹ فراہم کرتی ہے، نے تقریباً 1 لاکھ TLS سرٹیفکیٹس کی جلد منسوخی کا اعلان کیا، جو اس سرٹیفیکیشن اتھارٹی کے تمام فعال سرٹیفکیٹس کا تقریباً 01% ہے۔ TLS-ALPN-7301 ایکسٹینشن (RFC 2, Application-Layer Protocol Negotiation) کے نفاذ کے ساتھ Let's Encrypt میں استعمال کردہ کوڈ میں وضاحتی تقاضوں کی عدم تعمیل کی نشاندہی کی وجہ سے سرٹیفکیٹس کی منسوخی شروع کی گئی۔ یہ تضاد HTTP/XNUMX میں استعمال ہونے والی ALPN TLS ایکسٹینشن کی بنیاد پر کنکشن گفت و شنید کے عمل کے دوران کئے گئے کچھ چیکوں کی عدم موجودگی کی وجہ سے تھا۔ واقعہ کے بارے میں تفصیلی معلومات مسئلہ سرٹیفکیٹ کی منسوخی مکمل ہونے کے بعد شائع کی جائیں گی۔

26 جنوری کو 03:48 (MSK) پر مسئلہ حل ہو گیا تھا، لیکن تصدیق کے لیے TLS-ALPN-01 طریقہ استعمال کرتے ہوئے جاری کیے گئے تمام سرٹیفیکیٹس کو کالعدم قرار دینے کا فیصلہ کیا گیا۔ سرٹیفکیٹس کی منسوخی 28 جنوری کو 19:00 بجے (MSK) شروع ہوگی۔ اس وقت تک، TLS-ALPN-01 تصدیقی طریقہ استعمال کرنے والے صارفین کو مشورہ دیا جاتا ہے کہ وہ اپنے سرٹیفکیٹس کو اپ ڈیٹ کریں، بصورت دیگر وہ جلد ہی باطل کر دیے جائیں گے۔

سرٹیفکیٹس کو اپ ڈیٹ کرنے کی ضرورت کے بارے میں متعلقہ اطلاعات ای میل کے ذریعے بھیجی جاتی ہیں۔ سرٹیفکیٹ حاصل کرنے کے لیے Certbot اور dehydrated ٹولز استعمال کرنے والے صارفین ڈیفالٹ سیٹنگز کا استعمال کرتے وقت اس مسئلے سے متاثر نہیں ہوئے۔ TLS-ALPN-01 طریقہ Caddy، Traefik، apache mod_md اور آٹوسرٹ پیکجوں میں معاون ہے۔ آپ اپنے سرٹیفکیٹس کی درستگی کو چیک کر سکتے ہیں شناخت کنندگان، سیریل نمبرز یا ڈومینز کو تلاش کر کے مسائل والے سرٹیفکیٹس کی فہرست میں۔

چونکہ TLS-ALPN-01 طریقہ استعمال کرتے ہوئے جانچ پڑتال کرتے وقت تبدیلیاں رویے کو متاثر کرتی ہیں، ACME کلائنٹ کو اپ ڈیٹ کرنے یا سیٹنگز (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) کو تبدیل کرنے سے کام جاری رکھنے کی ضرورت پڑ سکتی ہے۔ تبدیلیوں میں 1.2 سے کم TLS ورژنز کا استعمال شامل ہے (کلائنٹ اب TLS 1.1 استعمال نہیں کر سکیں گے) اور OID 1.3.6.1.5.5.7.1.30.1 کی فرسودگی، جو متروک acmeIdentifier ایکسٹینشن کی نشاندہی کرتی ہے، جو صرف پہلے میں سپورٹ کی گئی تھی۔ RFC 8737 تفصیلات کے مسودے (ایک سرٹیفکیٹ تیار کرتے وقت، اب صرف OID 1.3.6.1.5.5.7.1.31 کی اجازت ہے، اور OID 1.3.6.1.5.5.7.1.30.1 استعمال کرنے والے کلائنٹ سرٹیفکیٹ حاصل نہیں کر سکیں گے)۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں