Let's Encrypt是一家由社群控制、向所有人免費提供證書的非營利證書頒發機構,宣布提前撤銷約1萬張TLS證書,約佔該證書頒發機構所有活躍證書的01%。 由於實施了 TLS-ALPN-7301 擴充(RFC 2,應用層協定協商),Let's Encrypt 中使用的程式碼不符合規範要求,因此啟動了憑證撤銷。 差異是由於在連線協商過程中缺少基於 HTTP/XNUMX 中使用的 ALPN TLS 擴充執行的一些檢查。 有關該事件的詳細資訊將在問題證書撤銷完成後公佈。
26 月 03 日 48:01(MSK)問題已解決,但所有使用 TLS-ALPN-28 方法進行驗證所頒發的憑證被決定作廢。 證書吊銷將於 19 月 00 日 01:XNUMX(MSK)開始。 在此之前,建議使用 TLS-ALPN-XNUMX 驗證方法的使用者更新其證書,否則證書將提前失效。
有關需要更新證書的相關通知透過電子郵件發送。 使用預設設定時,使用 Certbot 和脫水工具取得憑證的使用者不會受到該問題的影響。 Caddy、Traefik、apache mod_md 和 autocert 軟體包支援 TLS-ALPN-01 方法。 您可以透過在有問題的憑證清單中搜尋識別碼、序號或網域來檢查憑證的正確性。
由於這些變更會影響使用 TLS-ALPN-01 方法進行檢查時的行為,因此可能需要更新 ACME 用戶端或變更設定(Caddy、bitnami/bn-cert、autocert、apache mod_md、Traefik)才能繼續運作。 這些變更包括使用不低於 1.2 的 TLS 版本(用戶端將不再能夠使用 TLS 1.1)以及停止支援 OID 1.3.6.1.5.5.7.1.30.1,該 OID 識別已過時的 acmeIdentifier 擴充,僅受支援在RFC 8737規範的早期草案中(產生憑證時,現在只允許OID 1.3.6.1.5.5.7.1.31,使用OID 1.3.6.1.5.5.7.1.30.1的用戶端將無法取得憑證)。
來源: opennet.ru