30 мая 2020 года возникла проблема с цепочкой сертификатов, затронувшая клиентские соединения с несколькими серверами XRP Ledger, и Ripple Xpring отчитался теперь о решении проблемы.
Ripple Xpring в своем блоге отчитался о решении проблемы с сертификатами на серверах XRP Ledger, описав прежде всего саму ситуацию:
30 мая 2020 года проблема с цепочкой сертификатов, используемой Ripple, затронула клиентские соединения с несколькими общедоступными серверами XRP Ledger, которые Ripple размещает для целей разработки и тестирования. Были затронуты следующие серверы разработки, размещенные в Ripple:
s1.ripple.com
s2.ripple.com
r.ripple.com
repos.ripple.com
s-west.ripple.com
s-east.ripple.com
Эксплуатационное воздействие этой проблемы было, прежде всего, ограничено интерфейсами WebSocket и RPC, предоставляемыми этими серверами; также был затронут репозиторий пакетов repos.ripple.com.
Ripple Xpring подчеркнул, что сам XRP Ledger за это время воздействию не подвергался, и сеть продолжала нормально работать. Также представители Ripple Xpring указали, что проблема была вызвана истечением корневого сертификата AddTrust External CA, которое произошло 30 мая 2020 года и затронуло множество других интернет-сервисов по всему миру.
Как только проблема с истечением срока действия сертификата была обнаружена и подтверждена, наша техническая команда немедленно обновила цепочку сертификатов, что, как правило, решит проблему. Однако обновление цепочки сертификатов выявило проблему в старых приложениях и устройствах, которые зависят от истекшего перекрестного подписанного корневого сертификата. В частности, клиентское программное обеспечение на основе OpenSSL до версии 1.1.1, по-видимому, содержало неверную логику проверки пути сертификата. В качестве обходного пути наша команда технической эксплуатации приобрела новый сертификат у другого центра сертификации, а затем обновила и перезапустила все затронутые серверы. Это исправление полностью восстановило клиентские соединения со следующими общедоступными серверами XRP Ledger, которые Ripple размещает для целей разработки и тестирования:
s1.ripple.com
s2.ripple.com
r.ripple.com
repos.ripple.com
Следующие устаревшие серверы по-прежнему подвержены проблеме с сертификатом и скоро будут устаревшими:
s-west.ripple.com
s-east.ripple.com
Инцидент также выявил недостаток внутренних возможностей мониторинга и оповещения, действующих в настоящее время для истечения срока действия сертификата. Предпринимаются дополнительные усилия по исправлению, чтобы расширить возможности нашего внутреннего мониторинга сертификатов.
Ранее Дэвид Шварц пояснил заявление Ripple о новом подходе к ODL.
Источник