Jamiyat tomonidan boshqariladigan va sertifikatlarni hammaga bepul taqdim etuvchi Let's Encrypt notijorat sertifikat organi ikki millionga yaqin TLS sertifikatlarining muddatidan oldin bekor qilinishini e'lon qildi, bu ushbu sertifikatlashtirish organining barcha faol sertifikatlarining taxminan 1 foizini tashkil qiladi. Sertifikatlarni bekor qilish TLS-ALPN-01 kengaytmasini (RFC 7301, Application-Layer Protocol Negotiation) amalga oshirishda Let's Encrypt-da foydalanilgan kodda spetsifikatsiya talablariga mos kelmasligi aniqlanganligi sababli boshlangan. Mos kelmaslik HTTP/2 da qoΚ»llanilgan ALPN TLS kengaytmasi asosida ulanish boΚ»yicha muzokaralar jarayonida amalga oshirilgan baΚΌzi tekshiruvlarning yoΚ»qligi bilan bogΚ»liq edi. Voqea haqida batafsil ma'lumot muammoli sertifikatlarni bekor qilish tugallangandan so'ng e'lon qilinadi.
26-yanvar kuni soat 03:48 (MSK) da muammo bartaraf etildi, ammo tekshirish uchun TLS-ALPN-01 usulidan foydalangan holda berilgan barcha sertifikatlar haqiqiy emas deb topildi. Sertifikatlarni bekor qilish 28 yanvar kuni soat 19:00 (MSK) da boshlanadi. Shu vaqtgacha TLS-ALPN-01 tekshirish usulidan foydalanadigan foydalanuvchilarga sertifikatlarini yangilash tavsiya etiladi, aks holda ular erta bekor qilinadi.
Sertifikatlarni yangilash zarurligi haqidagi tegishli bildirishnomalar elektron pochta orqali yuboriladi. Sertifikat olish uchun Certbot va suvsizlangan vositalardan foydalanadigan foydalanuvchilar standart sozlamalardan foydalanishda muammoga ta'sir qilmagan. TLS-ALPN-01 usuli Caddy, Traefik, apache mod_md va autocert paketlarida qo'llab-quvvatlanadi. Siz sertifikatlaringizning toΚ»gΚ»riligini muammoli sertifikatlar roΚ»yxatidan identifikatorlar, seriya raqamlari yoki domenlarni qidirish orqali tekshirishingiz mumkin.
O'zgarishlar TLS-ALPN-01 usuli yordamida tekshirishda xatti-harakatlarga ta'sir qilganligi sababli, ishlashni davom ettirish uchun ACME mijozini yangilash yoki sozlamalarni o'zgartirish (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) talab qilinishi mumkin. O'zgarishlar 1.2 dan past bo'lmagan TLS versiyalaridan foydalanishni (mijozlar endi TLS 1.1 dan foydalana olmaydi) va faqat oldingi versiyalarda qo'llab-quvvatlangan eskirgan acmeIdentifier kengaytmasini aniqlaydigan OID 1.3.6.1.5.5.7.1.30.1 ning eskirishini o'z ichiga oladi. RFC 8737 spetsifikatsiyasining loyihalari (sertifikat yaratishda endi faqat OID 1.3.6.1.5.5.7.1.31 ruxsat etiladi va OID 1.3.6.1.5.5.7.1.30.1 dan foydalanuvchi mijozlar sertifikat ololmaydi).
Manba: opennet.ru