🥇 זאל ס ענקריפּט ריוואָוקס 2 מיליאָן סערטיפיקאַץ רעכט צו ישוז אין ימפּלאַמענטיישאַן פון TLS-ALPN-01

Let's Encrypt, אַ נאַן-נוץ סערטיפיקאַט אויטאָריטעט וואָס איז קאַנטראָולד דורך די קהל און גיט סערטיפיקאַץ פריי צו אַלעמען, אַנאַונסט די פרי רעוואָקאַטיאָן פון בעערעך צוויי מיליאָן TLS סערטיפיקאַץ, וואָס איז וועגן 1% פון אַלע אַקטיוו סערטיפיקאַץ פון דעם סערטאַפאַקיישאַן אויטאָריטעט. די רעוואָקאַטיאָן פון סערטיפיקאַץ איז ינישיייטיד רעכט צו דער לעגיטימאַציע פון ניט-העסקעם רעקווירעמענץ אין די קאָד געניצט אין Let's Encrypt מיט די ימפּלאַמענטיישאַן פון די TLS-ALPN-01 פאַרלענגערונג (RFC 7301, אַפּפּליקאַטיאָן-שיכטע פּראָטאָקאָל פאַרהאַנדלונג). די דיסקרעפּאַנסי איז געווען רעכט צו דער אַוועק פון עטלעכע טשעקס דורכגעקאָכט בעשאַס די פאַרהאַנדלונג פּראָצעס פֿאַר קשר באזירט אויף די ALPN TLS פאַרלענגערונג געניצט אין HTTP/2. דיטיילד אינפֿאָרמאַציע וועגן דעם אינצידענט וועט זיין פארעפנטלעכט נאָך די רעוואָקאַטיאָן פון די פּראָבלעמאַטיק סערטיפיקאַץ איז געענדיקט.

אויף 26 יאנואר 03:48 (MSK) די פּראָבלעם איז פאַרפעסטיקט, אָבער אַלע סערטיפיקאַץ וואָס זענען ארויס מיט די TLS-ALPN-01 אופֿן פֿאַר וועראַפאַקיישאַן זענען באַשלאָסן צו זיין ינוואַלאַדייטאַד. רעוואָקאַטיאָן פון סערטיפיקאַץ וועט אָנהייבן אויף יאנואר 28 בייַ 19:00 (MSK). ביז דעם מאָל, ניצערס וואָס נוצן די TLS-ALPN-01 וועראַפאַקיישאַן אופֿן זענען אַדווייזד צו דערהייַנטיקן זייער סערטיפיקאַץ, אַנדערש זיי וועלן זיין ינוואַלאַדייטאַד פרי.

מעלדונגען וועגן דעם נויטווענדיקייט צו באנייען סערטיפיקאטן זענען געשיקט געוואָרן דורך אימעיל. באַניצער וואָס נוצן די Certbot און דעכידראַטירטע מכשירים צו באַקומען סערטיפיקאטן מיט פעליקייט סעטטינגס ווערן נישט אַפעקטירט דורך דעם פּראָבלעם. די TLS-ALPN-01 מעטאָדע ווערט געשטיצט אין די Caddy, Traefik, Apache mod_md, און autocert פּאַקאַדזשאַז. איר קענט באַשטעטיקן די גילטיקייט פון אייערע סערטיפיקאטן דורך זוכן פֿאַר אידענטיפיצירער, סעריע נומערן, אדער. דאָמעינען אין דער ליסטע פון פּראָבלעמאַטישע סערטיפיקאַטן.

זינט די ענדערונגען ווירקן די נאַטור ווען טשעק מיט די TLS-ALPN-01 אופֿן, אַפּדייטינג די ACME קליענט אָדער טשאַנגינג סעטטינגס (Caddy, bitnami/bn-cert, autocert, apache mod_md, Traefik) קען זיין פארלאנגט צו פאָרזעצן ארבעטן. די ענדערונגען אַרייַננעמען די נוצן פון TLS ווערסיעס ניט נידעריקער ווי 1.2 (קלייאַנץ וועט ניט מער קענען צו נוצן TLS 1.1) און די דיפּרישייישאַן פון OID 1.3.6.1.5.5.7.1.30.1, וואָס יידענאַפייד די פאַרעלטערט אַקמעידענטיפיער פאַרלענגערונג, געשטיצט בלויז אין פריער דראַפץ פון די RFC 8737 באַשרייַבונג (ווען דזשענערייטינג אַ באַווייַזן, איצט בלויז OID 1.3.6.1.5.5.7.1.31 איז ערלויבט, און קלייאַנץ וואָס נוצן OID 1.3.6.1.5.5.7.1.30.1 קענען נישט באַקומען אַ באַווייַזן).

מקור: opennet.ru

זאל ס ענקריפּט ריוואָוקס 2 מיליאָן סערטיפיקאַץ רעכט צו פּראָבלעמס מיט די ימפּלאַמענטיישאַן פון TLS-ALPN-01