Let's Encrypt, cơ quan cấp chứng chỉ phi lợi nhuận do cộng đồng kiểm soát và cung cấp chứng chỉ miễn phí cho mọi người, đã thông báo thu hồi sớm khoảng hai triệu chứng chỉ TLS, chiếm khoảng 1% tổng số chứng chỉ đang hoạt động của cơ quan chứng nhận này. Việc thu hồi chứng chỉ được bắt đầu do phát hiện thấy mã được sử dụng trong Let's Encrypt không tuân thủ các yêu cầu đặc tả khi triển khai tiện ích mở rộng TLS-ALPN-01 (RFC 7301, Đàm phán giao thức lớp ứng dụng). Sự khác biệt là do thiếu một số kiểm tra được thực hiện trong quá trình đàm phán kết nối dựa trên tiện ích mở rộng ALPN TLS được sử dụng trong HTTP/2. Thông tin chi tiết về vụ việc sẽ được công bố sau khi hoàn tất việc thu hồi các chứng chỉ có vấn đề.
Vào ngày 26 tháng 03 lúc 48:01 (MSK), sự cố đã được khắc phục nhưng tất cả các chứng chỉ được cấp bằng phương pháp TLS-ALPN-28 để xác minh đều bị quyết định là vô hiệu. Việc thu hồi chứng chỉ sẽ bắt đầu vào ngày 19 tháng 00 lúc 01:XNUMX (MSK). Cho đến thời điểm này, người dùng sử dụng phương pháp xác minh TLS-ALPN-XNUMX nên cập nhật chứng chỉ của mình, nếu không chúng sẽ sớm bị vô hiệu hóa.
Các thông báo liên quan về nhu cầu cập nhật chứng chỉ sẽ được gửi qua email. Người dùng sử dụng Certbot và các công cụ khử nước để lấy chứng chỉ không bị ảnh hưởng bởi sự cố khi sử dụng cài đặt mặc định. Phương thức TLS-ALPN-01 được hỗ trợ trong các gói Caddy, Traefik, apache mod_md và autocert. Bạn có thể kiểm tra tính chính xác của chứng chỉ của mình bằng cách tìm kiếm số nhận dạng, số sê-ri hoặc tên miền trong danh sách chứng chỉ có vấn đề.
Vì các thay đổi ảnh hưởng đến hoạt động khi kiểm tra bằng phương pháp TLS-ALPN-01 nên có thể cần phải cập nhật ứng dụng khách ACME hoặc thay đổi cài đặt (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) để tiếp tục hoạt động. Những thay đổi này bao gồm việc sử dụng các phiên bản TLS không thấp hơn 1.2 (khách hàng sẽ không thể sử dụng TLS 1.1 nữa) và ngừng sử dụng OID 1.3.6.1.5.5.7.1.30.1, xác định tiện ích mở rộng acmeIdentifier lỗi thời, chỉ được hỗ trợ trong các phiên bản trước đó. bản nháp của đặc tả RFC 8737 (khi tạo chứng chỉ, hiện chỉ cho phép OID 1.3.6.1.5.5.7.1.31 và khách hàng sử dụng OID 1.3.6.1.5.5.7.1.30.1 sẽ không thể lấy chứng chỉ).
Nguồn: opennet.ru