Let's Encrypt是一家由社区控制、向所有人免费提供证书的非盈利证书颁发机构,宣布提前撤销约1万张TLS证书,约占该证书颁发机构所有活跃证书的01%。 由于实施了 TLS-ALPN-7301 扩展(RFC 2,应用层协议协商),Let's Encrypt 中使用的代码不符合规范要求,因此启动了证书吊销。 差异是由于在基于 HTTP/XNUMX 中使用的 ALPN TLS 扩展的连接协商过程中缺少执行的某些检查。 有关该事件的详细信息将在问题证书撤销完成后公布。
26 月 03 日 48:01(MSK)问题得到解决,但所有使用 TLS-ALPN-28 方法进行验证颁发的证书被决定作废。 证书吊销将于 19 月 00 日 01:XNUMX(MSK)开始。 在此之前,建议使用 TLS-ALPN-XNUMX 验证方法的用户更新其证书,否则证书将提前失效。
有关需要更新证书的相关通知通过电子邮件发送。 使用默认设置时,使用 Certbot 和脱水工具获取证书的用户不会受到该问题的影响。 Caddy、Traefik、apache mod_md 和 autocert 软件包支持 TLS-ALPN-01 方法。 您可以通过在有问题的证书列表中搜索标识符、序列号或域来检查证书的正确性。
由于这些更改会影响使用 TLS-ALPN-01 方法进行检查时的行为,因此可能需要更新 ACME 客户端或更改设置(Caddy、bitnami/bn-cert、autocert、apache mod_md、Traefik)才能继续工作。 这些更改包括使用不低于 1.2 的 TLS 版本(客户端将不再能够使用 TLS 1.1)以及弃用 OID 1.3.6.1.5.5.7.1.30.1,该 OID 标识已过时的 acmeIdentifier 扩展,仅在早期版本中受支持RFC 8737规范草案(生成证书时,现在仅允许OID 1.3.6.1.5.5.7.1.31,使用OID 1.3.6.1.5.5.7.1.30.1的客户端将无法获取证书)。
来源: opennet.ru