I dag, 30. september, IdenTrust rodcertifikatets levetid er udløbet og er det dette certifikat blev brugt til at underskrive Let's Encrypt -certifikatet (ISRG Root X1), kontrolleret af samfundet og giver gratis certifikater til alle.
Firmaet sikrede tillid til Let's Encrypt -certifikater på en lang række enheder, operativsystemer og browsere, mens vi integrerede Let's Encrypts eget rodcertifikat i rodcertifikatlagre.
Det var oprindeligt planlagt, at efter DST Root CA X3 er forældet, projektet Let's Encrypt det skifter til at generere signaturer kun ved hjælp af dit certifikat, men et sådant trin ville føre til tab af kompatibilitet med en masse gamle systemer, der ikke gjorde det. Især har omkring 30% af Android -enheder i brug ikke data om Let's Encrypt -rodcertifikatet, hvis understøttelse kun optrådte fra Android 7.1.1 -platformen, udgivet i slutningen af 2016.
Let's Encrypt planlagde ikke at indgå en ny krydsunderskriftsaftale, da dette pålægger parterne i aftalen et yderligere ansvar, fratager dem uafhængighed og binder deres hænder i at overholde alle procedurer og regler fra en anden certificeringsmyndighed.
Men på grund af potentielle problemer på et stort antal Android -enheder blev planen revideret. En ny aftale blev underskrevet med certificeringsmyndigheden IdenTrust, hvorunder et alternativt Let's Encrypt-mellemliggende krydsunderskrevet certifikat blev oprettet. Krydsunderskriften vil være gyldig i tre år og vil fortsat være kompatibel med Android -enheder fra version 2.3.6.
Imidlertid det nye mellemcertifikat dækker ikke mange andre ældre systemer. Efter DST Root CA X3 -certifikatets udløb (i dag 30. september) accepteres f.eks. Let's Encrypt -certifikater ikke længere på ikke -understøttet firmware og operativsystemer, hvor du for at sikre tillid til Let's Encrypt -certifikater skal tilføje manuelt ISRG -rod. X1 -certifikat til rodcertifikatlager. Problemerne kommer til udtryk i:
OpenSSL til og med filial 1.0.2 (vedligeholdelse af gren 1.0.2 blev afbrudt i december 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
I tilfælde af OpenSSL 1.0.2, problemet skyldes en fejl, der forhindrer den korrekte håndtering af certifikater krydsunderskrevet, hvis et af de rodcertifikater, der er involveret i signering, udløber, selvom andre gyldige tillidskæder bevares.
Problemet opstod første gang sidste år efter udløbet af AddTrust -certifikatet bruges til krydssignering i certifikater fra Sectigo (Comodo) certifikatmyndighed. Kernen i problemet er, at OpenSSL analyserede certifikatet som en lineær kæde, hvorimod certifikatet ifølge RFC 4158 kan repræsentere et rettet distribueret cirkeldiagram med forskellige tillidsanker, der skal tages i betragtning.
Brugere af ældre distributioner baseret på OpenSSL 1.0.2 tilbydes tre løsninger til at løse problemet:
- Fjern manuelt IdenTrust DST Root CA X3 -rodcertifikatet, og installer det selvstændige ISRG Root X1 -rodcertifikat (ingen krydssignering).
- Angiv indstillingen "–trusted_first", når du kører kommandoen openssl verify og s_client.
- Brug et certifikat på serveren, der er certificeret af et selvstændigt SRG Root X1-rodcertifikat, der ikke er krydssigneret (Lad os kryptere tilbyder en mulighed for at anmode om et sådant certifikat). Denne metode vil føre til tab af kompatibilitet med gamle Android -klienter.
Derudover har Let's Encrypt -projektet bestået milepælen på to milliarder genererede certifikater. Milepælen på en milliard blev nået i februar sidste år. Hver dag genereres 2,2-2,4 millioner nye certifikater. Antallet af aktive certifikater er 192 millioner (certifikatet er gyldigt i tre måneder) og dækker omkring 260 millioner domæner (for et år siden dækkede det 195 millioner domæner, for to år siden - 150 millioner, for tre år siden - 60 millioner).
Ifølge statistikker fra Firefox Telemetry -tjenesten er den globale andel af sideanmodninger over HTTPS 82%(for et år siden - 81%, for to år siden - 77%, for tre år siden - 69%, for fire år siden - 58%).
kilde: https://scotthelme.co.uk/