El dia d'avui 30 de setembre, el temps de vida de l'certificat arrel IdenTrust expiro i és que aquest certificat va ser utilitzat per signar el certificat de Let 's Encrypt (ISRG Root X1), Controlada per la comunitat i proporcionar certificats de forma gratuïta per a tothom.
La signatura va assegurar la confiança dels certificats Let 's Encrypt en una àmplia gamma de dispositius, sistemes operatius i navegadors a el temps que integrava el propi certificat arrel de Let' s Encrypt en els magatzems de certificats root.
Originalment es va planejar que després que DST Root CA X3 estigui desactualitzat, el projecte Let 's Encrypt canviarà a generar signatures usant només el seu certificat, però tal pas conduiria a una pèrdua de compatibilitat amb una gran quantitat de sistemes antics que no ho van fer. En particular, al voltant de l'30% dels dispositius Android en ús no tenen dades sobre el certificat arrel Let 's Encrypt, el suport va aparèixer només a partir de la plataforma Android 7.1.1, llançada a finals de 2016.
Let 's Encrypt no tenia previst celebrar un nou acord de signatura creuada, ja que això imposa una responsabilitat addicional a les parts de l'acord, les priva d'independència i els lliga de les mans pel que fa a l'acompliment de tots els procediments i normes d'una altra autoritat de certificació.
Però a causa de problemes potencials en una gran quantitat de dispositius Android, es va revisar el pla. Es va signar un nou acord amb l'autoritat de certificació IdenTrust, en virtut de el qual es va crear un certificat Let 's Encrypt intermedi alternatiu amb signatura creuada. La signatura creuada tindrà una validesa de tres anys i seguirà sent compatible amb els dispositius Android a partir de la versió 2.3.6.
No obstant això, el nou certificat intermedi no cobreix molts altres sistemes heretats. Per exemple, després que el certificat DST Root CA X3 caducp (avui 30 de setembre), els certificats Let 's Encrypt ja no s'acceptaran en firmware i sistemes operatius no compatibles, en els quals, per garantir la confiança en els certificats Let' s Encrypt, haurà afegir manualment l'arrel ISRG. Certificat X1 a el magatzem de certificats arrel. Els problemes es manifestaran a:
OpenSSL fins a la branca 1.0.2 inclosa (el manteniment de la branca 1.0.2 es va interrompre al desembre de 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
En el cas d'OpenSSL 1.0.2, el problema està causat per un error que impedeix el maneig correcte de certificats amb signatura creuada si un dels certificats arrel involucrats en la signatura caduca, encara que es conserven altres cadenes de confiança vàlides.
el problema va sorgir per primera vegada l'any passat després de l'expiració de l'certificat AddTrust utilitzat per a la signatura creuada en els certificats de l'autoritat de certificació Sectigo (Comodo). El moll de el problema és que OpenSSL va analitzar el certificat com una cadena lineal, mentre que segons RFC 4158, el certificat pot representar un gràfic circular distribuït dirigit amb diversos ancoratges de confiança que s'han de tenir en compte.
Als usuaris de distribucions més antigues basades en OpenSSL 1.0.2 se'ls ofereixen tres solucions per resoldre el problema:
- Eliminar manualment el certificat arrel IdenTrust DST Root CA X3 i instal el certificat arrel ISRG Root X1 independent (sense signatura creuada).
- Especificar l'opció «-trusted_first» quan executi les ordres openssl verify i s_client.
- Utilitzar un certificat al servidor que estigui certificat per un certificat arrel SRG Root X1 independent que no tingui signatura creuada (Let 's Encrypt ofereix una opció per a sol·licitar el certificat). Aquest mètode conduirà a la pèrdua de compatibilitat amb els antics clients d'Android.
A més, el projecte Let 's Encrypt ha superat la fita dels dos mil milions de certificats generats. La fita de mil milions es va assolir al febrer de l'any passat. Cada dia es generen 2,2-2,4 milions de nous certificats. El nombre de certificats actius és de 192 milions (el certificat és vàlid per tres mesos) i cobreix al voltant de 260 milions de dominis (fa un any cobria 195 milions de dominis, fa dos anys - 150 milions, fa tres anys - 60 milions) .
Segons les estadístiques de l'servei Firefox Telemetry, la proporció global de sol·licituds de pàgina a través d'HTTPS és de l'82% (fa un any - 81%, fa dos anys - 77%, fa tres anys - 69%, fa quatre anys - 58 %).
font: https://scotthelme.co.uk/