Danas, 30. septembra, IdenTrust root certifikat je istekao i da li je to ovaj certifikat je korišten za potpisivanje Let's Encrypt certifikata (ISRG Root X1), pod kontrolom zajednice i besplatno daju certifikate.
Firma je osigurala povjerenje Let's Encrypt certifikata na širokom rasponu uređaja, operativnih sistema i preglednika integrirajući Let's Encrypt vlastiti korijenski certifikat u skladišta korijenskih certifikata.
Prvobitno je bilo planirano da nakon što je DST Root CA X3 zastario, projekat Let's Encrypt preći će na generiranje potpisa koristeći samo vaš certifikat, ali bi takav korak doveo do gubitka kompatibilnosti sa puno starih sistema koji nisu. Konkretno, oko 30% Android uređaja u upotrebi nema podatke o korijenskom certifikatu Let's Encrypt, čija se podrška pojavila tek od platforme Android 7.1.1, objavljene krajem 2016. godine.
Let's Encrypt nije planirao sklapanje novog sporazuma o unakrsnom potpisivanju, jer to strankama sporazuma nameće dodatnu odgovornost, lišava ih nezavisnosti i veže im ruke u skladu sa svim procedurama i pravilima drugog tijela za certifikaciju.
No, zbog potencijalnih problema na velikom broju Android uređaja, plan je revidiran. Potpisan je novi ugovor s IdenTrust certifikacijskim tijelom, prema kojem je kreiran alternativni Let's Encrypt posredni križni certifikat. Ukršteni potpis bit će važeći tri godine i nastavit će biti kompatibilan s Android uređajima od verzije 2.3.6.
Međutim, novi posredni certifikat ne pokriva mnoge druge naslijeđene sisteme. Na primjer, nakon isteka DST Root CA X3 certifikata (danas 30. septembra), Let's Encrypt certifikati više neće biti prihvaćeni na nepodržanom firmveru i operativnim sistemima, u kojima ćete, kako biste osigurali povjerenje u Let's Encrypt certifikate, morati ručno dodati ISRG korijen. X1 certifikat u korijensko spremište certifikata. Problemi će se očitovati u:
OpenSSL do grane 1.0.2 uključujući (održavanje grane 1.0.2 je prekinuto u decembru 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
U slučaju OpenSSL 1.0.2, problem je uzrokovan greškom koja sprječava pravilno rukovanje certifikatima ukršteno ako jedan od korijenskih certifikata uključenih u potpisivanje istekne, iako su ostali važeći lanci povjerenja sačuvani.
problem prvi put se pojavio prošle godine nakon isteka AddTrust certifikata koristi se za unakrsno potpisivanje na certifikatima Sectigo (Comodo) certifikacijskog tijela. Srce problema je u tome što je OpenSSL raščlanio certifikat kao linearni lanac, dok prema RFC 4158, certifikat može predstavljati usmjereni distribuirani tortni grafikon s različitim sidrima povjerenja koje treba uzeti u obzir.
Korisnicima starijih distribucija zasnovanih na OpenSSL 1.0.2 ponuđena su tri rješenja za rješavanje problema:
- Ručno uklonite IdenTrust DST Root CA X3 root certifikat i instalirajte samostalni ISRG Root X1 root certifikat (bez unakrsnog potpisivanja).
- Navedite opciju "–trusted_first" prilikom izvođenja naredbi openssl verify i s_client.
- Koristite certifikat na poslužitelju koji je certificiran samostalnim SRG Root X1 korijenskim certifikatom koji nije unakrsno potpisan (Let's Encrypt nudi opciju za traženje takvog certifikata). Ova metoda će dovesti do gubitka kompatibilnosti sa starim Android klijentima.
Osim toga, projekt Let's Encrypt prešao je prekretnicu od dvije milijarde generiranih certifikata. Prekretnica od milijardu dostignuta je u februaru prošle godine. Svakodnevno se generira 2,2-2,4 milijuna novih certifikata. Broj aktivnih certifikata je 192 miliona (certifikat vrijedi tri mjeseca) i pokriva oko 260 miliona domena (prije godinu dana pokrivao je 195 miliona domena, prije dvije godine - 150 miliona, prije tri godine - 60 miliona).
Prema statistikama Firefoxove telemetrijske usluge, globalni udio zahtjeva stranica preko HTTPS -a je 82%(prije godinu dana - 81%, prije dvije godine - 77%, prije tri godine - 69%, prije četiri godine - 58%).
Izvor: https://scotthelme.co.uk/