זאל ס ענקריפּט ריוואָוקס 2 מיליאָן סערטיפיקאַץ רעכט צו פּראָבלעמס מיט די ימפּלאַמענטיישאַן פון TLS-ALPN-01

Let's Encrypt, אַ נאַן-נוץ סערטיפיקאַט אויטאָריטעט וואָס איז קאַנטראָולד דורך די קהל און גיט סערטיפיקאַץ פריי צו אַלעמען, אַנאַונסט די פרי רעוואָקאַטיאָן פון בעערעך צוויי מיליאָן TLS סערטיפיקאַץ, וואָס איז וועגן 1% פון אַלע אַקטיוו סערטיפיקאַץ פון דעם סערטאַפאַקיישאַן אויטאָריטעט. די רעוואָקאַטיאָן פון סערטיפיקאַץ איז ינישיייטיד רעכט צו דער לעגיטימאַציע פון ​​ניט-העסקעם רעקווירעמענץ אין די קאָד געניצט אין Let's Encrypt מיט די ימפּלאַמענטיישאַן פון די TLS-ALPN-01 פאַרלענגערונג (RFC 7301, אַפּפּליקאַטיאָן-שיכטע פּראָטאָקאָל פאַרהאַנדלונג). די דיסקרעפּאַנסי איז געווען רעכט צו דער אַוועק פון עטלעכע טשעקס דורכגעקאָכט בעשאַס די פאַרהאַנדלונג פּראָצעס פֿאַר קשר באזירט אויף די ALPN TLS פאַרלענגערונג געניצט אין HTTP/2. דיטיילד אינפֿאָרמאַציע וועגן דעם אינצידענט וועט זיין פארעפנטלעכט נאָך די רעוואָקאַטיאָן פון די פּראָבלעמאַטיק סערטיפיקאַץ איז געענדיקט.

אויף 26 יאנואר 03:48 (MSK) די פּראָבלעם איז פאַרפעסטיקט, אָבער אַלע סערטיפיקאַץ וואָס זענען ארויס מיט די TLS-ALPN-01 אופֿן פֿאַר וועראַפאַקיישאַן זענען באַשלאָסן צו זיין ינוואַלאַדייטאַד. רעוואָקאַטיאָן פון סערטיפיקאַץ וועט אָנהייבן אויף יאנואר 28 בייַ 19:00 (MSK). ביז דעם מאָל, ניצערס וואָס נוצן די TLS-ALPN-01 וועראַפאַקיישאַן אופֿן זענען אַדווייזד צו דערהייַנטיקן זייער סערטיפיקאַץ, אַנדערש זיי וועלן זיין ינוואַלאַדייטאַד פרי.

באַטייַטיק נאָוטאַפאַקיישאַנז וועגן דעם דאַרפֿן צו דערהייַנטיקן סערטיפיקאַץ זענען געשיקט דורך E- בריוו. יוזערז וואָס נוצן די Certbot און דיכיידרייטאַד מכשירים צו באַקומען אַ באַווייַזן זענען נישט אַפעקטאַד דורך די אַרויסגעבן ווען זיי נוצן די פעליקייַט סעטטינגס. די TLS-ALPN-01 אופֿן איז געשטיצט אין די קאַדי, טראַפיק, אַפּאַטשי מאָד_מד און אַוטאָסערט פּאַקאַדזשאַז. איר קענען קאָנטראָלירן די ריכטיק פון דיין סערטיפיקאַץ דורך זוכן פֿאַר ידענטיפיערס, סיריאַל נומערן אָדער דאָומיינז אין דער רשימה פון פּראָבלעמאַטיק סערטיפיקאַץ.

זינט די ענדערונגען ווירקן די נאַטור ווען טשעק מיט די TLS-ALPN-01 אופֿן, אַפּדייטינג די ACME קליענט אָדער טשאַנגינג סעטטינגס (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) קען זיין פארלאנגט צו פאָרזעצן ארבעטן. די ענדערונגען אַרייַננעמען די נוצן פון TLS ווערסיעס ניט נידעריקער ווי 1.2 (קלייאַנץ וועט ניט מער קענען צו נוצן TLS 1.1) און די דיפּרישייישאַן פון OID 1.3.6.1.5.5.7.1.30.1, וואָס יידענאַפייד די פאַרעלטערט אַקמעידענטיפיער פאַרלענגערונג, געשטיצט בלויז אין פריער דראַפץ פון די RFC 8737 באַשרייַבונג (ווען דזשענערייטינג אַ באַווייַזן, איצט בלויז OID 1.3.6.1.5.5.7.1.31 איז ערלויבט, און קלייאַנץ וואָס נוצן OID 1.3.6.1.5.5.7.1.30.1 קענען נישט באַקומען אַ באַווייַזן).

מקור: opennet.ru