Jamiyat tomonidan boshqariladigan va sertifikatlarni hammaga bepul taqdim etuvchi Let's Encrypt notijorat sertifikat organi ikki millionga yaqin TLS sertifikatlarining muddatidan oldin bekor qilinishini e'lon qildi, bu ushbu sertifikatlashtirish organining barcha faol sertifikatlarining taxminan 1 foizini tashkil qiladi. Sertifikatlarni bekor qilish TLS-ALPN-01 kengaytmasini (RFC 7301, Application-Layer Protocol Negotiation) amalga oshirishda Let's Encrypt-da foydalanilgan kodda spetsifikatsiya talablariga mos kelmasligi aniqlanganligi sababli boshlangan. Mos kelmaslik HTTP/2 da qoʻllanilgan ALPN TLS kengaytmasi asosida ulanish boʻyicha muzokaralar jarayonida amalga oshirilgan baʼzi tekshiruvlarning yoʻqligi bilan bogʻliq edi. Voqea haqida batafsil ma'lumot muammoli sertifikatlarni bekor qilish tugallangandan so'ng e'lon qilinadi.
26-yanvar kuni soat 03:48 (MSK) da muammo bartaraf etildi, ammo tekshirish uchun TLS-ALPN-01 usulidan foydalangan holda berilgan barcha sertifikatlar haqiqiy emas deb topildi. Sertifikatlarni bekor qilish 28 yanvar kuni soat 19:00 (MSK) da boshlanadi. Shu vaqtgacha TLS-ALPN-01 tekshirish usulidan foydalanadigan foydalanuvchilarga sertifikatlarini yangilash tavsiya etiladi, aks holda ular erta bekor qilinadi.
Sertifikatlarni yangilash zarurati haqida bildirishnomalar elektron pochta orqali yuborildi. Standart sozlamalarga ega sertifikatlarni olish uchun Certbot va quritilgan vositalardan foydalanadigan foydalanuvchilar muammoga duch kelmaydilar. TLS-ALPN-01 usuli Caddy, Traefik, Apache mod_md va autocert paketlarida qo'llab-quvvatlanadi. Siz sertifikatlaringizning haqiqiyligini identifikatorlar, seriya raqamlari yoki boshqa ma'lumotlarni qidirish orqali tekshirishingiz mumkin. domenlar muammoli sertifikatlar ro'yxatida.
O'zgarishlar TLS-ALPN-01 usuli yordamida tekshirishda xatti-harakatlarga ta'sir qilganligi sababli, ishlashni davom ettirish uchun ACME mijozini yangilash yoki sozlamalarni o'zgartirish (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) talab qilinishi mumkin. O'zgarishlar 1.2 dan past bo'lmagan TLS versiyalaridan foydalanishni (mijozlar endi TLS 1.1 dan foydalana olmaydi) va faqat oldingi versiyalarda qo'llab-quvvatlangan eskirgan acmeIdentifier kengaytmasini aniqlaydigan OID 1.3.6.1.5.5.7.1.30.1 ning eskirishini o'z ichiga oladi. RFC 8737 spetsifikatsiyasining loyihalari (sertifikat yaratishda endi faqat OID 1.3.6.1.5.5.7.1.31 ruxsat etiladi va OID 1.3.6.1.5.5.7.1.30.1 dan foydalanuvchi mijozlar sertifikat ololmaydi).
Manba: opennet.ru
