Dnes, 30. září Platnost kořenového certifikátu IdenTrust vypršela a je to tento certifikát byl použit k podepsání certifikátu Let's Encrypt (ISRG Root X1), kontrolované komunitou a poskytovat certifikáty zdarma všem.
Firma zajistila důvěru certifikátů Let's Encrypt na celé řadě zařízení, operačních systémů a prohlížečů a integruje vlastní kořenový certifikát Let's Encrypt do úložišť kořenových certifikátů.
Původně bylo plánováno, že poté, co DST Root CA X3 bude zastaralý, projekt Let's Encrypt přejde na generování podpisů pouze pomocí vašeho certifikátu, ale takový krok by vedl ke ztrátě kompatibility se spoustou starých systémů, které ne. Zejména přibližně 30% používaných zařízení Android nemá data o kořenovém certifikátu Let's Encrypt, jehož podpora se objevila pouze na platformě Android 7.1.1, vydané na konci roku 2016.
Pojďme Encrypt neplánovali uzavřít novou dohodu o vzájemném podpisu, protože to stranám dohody ukládá dodatečnou odpovědnost, zbavuje je nezávislosti a svazuje ruce při dodržování všech postupů a pravidel jiné certifikační autority.
Ale kvůli potenciálním problémům na velkém počtu zařízení Android byl plán revidován. S certifikační autoritou IdenTrust byla podepsána nová smlouva, v rámci které byl vytvořen alternativní mezišifrovaný certifikát Pojďme šifrovat meziprodukt. Křížový podpis bude platit tři roky a bude i nadále kompatibilní se zařízeními Android od verze 2.3.6.
Nicméně, nový přechodný certifikát nepokrývá mnoho dalších starších systémů. Například poté, co vyprší platnost certifikátu DST Root CA X3 (dnes 30. září), certifikáty Let's Encrypt již nebudou přijímány na nepodporovaném firmwaru a operačních systémech, ve kterých k zajištění důvěryhodnosti certifikátů Let's Encrypt budete muset ručně přidat ISRG root. Certifikát X1 do úložiště kořenových certifikátů. Problémy se projeví v:
OpenSSL až do pobočky 1.0.2 včetně (údržba pobočky 1.0.2 byla ukončena v prosinci 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Okna
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
V případě OpenSSL 1.0.2, problém je způsoben chybou, která brání správnému zacházení s certifikáty cross-signed, pokud vyprší platnost jednoho z kořenových certifikátů zapojených do podepisování, přestože jsou zachovány jiné platné řetězce důvěry.
Problém se poprvé objevil loni po vypršení platnosti certifikátu AddTrust používá se pro křížové podepisování certifikátů certifikační autority Sectigo (Comodo). Jádrem problému je, že OpenSSL analyzoval certifikát jako lineární řetězec, zatímco podle RFC 4158 může certifikát představovat směrovaný distribuovaný koláčový graf s různými kotvami důvěry, které je třeba vzít v úvahu.
Uživatelům starších distribucí založených na OpenSSL 1.0.2 jsou nabízena tři řešení k vyřešení problému:
- Ručně odeberte kořenový certifikát IdenTrust DST Root CA X3 a nainstalujte samostatný kořenový certifikát ISRG Root X1 (bez křížového podepisování).
- Při spuštění příkazů openssl verify a s_client zadejte možnost „–trusted_first“.
- Použijte certifikát na serveru, který je certifikován samostatným kořenovým certifikátem SRG Root X1, který není křížově podepsán (Let's Encrypt nabízí možnost požádat o takový certifikát). Tato metoda povede ke ztrátě kompatibility se starými klienty Android.
Projekt Let's Encrypt navíc prošel milníkem dvou miliard vygenerovaných certifikátů. Miliardový milník byl dosažen v únoru loňského roku. Každý den se vygeneruje 2,2 až 2,4 milionu nových certifikátů. Počet aktivních certifikátů je 192 milionů (certifikát platí tři měsíce) a pokrývá zhruba 260 milionů domén (před rokem pokrýval 195 milionů domén, před dvěma lety - 150 milionů, před třemi lety - 60 milionů).
Podle statistik služby Firefox Telemetry je globální podíl požadavků na stránky přes HTTPS 82%(před rokem - 81%, před dvěma lety - 77%, před třemi lety - 69%, před čtyřmi lety - 58%).
zdroj: https://scotthelme.co.uk/