Heute, 30. Gültigkeitsdauer des IdentTrust-Stammzertifikats abgelaufen und ist das dieses Zertifikat wurde verwendet, um das Let's Encrypt-Zertifikat (ISRG Root X1) zu signieren, kontrolliert von der Community und stellen Zertifikate kostenlos für alle zur Verfügung.
Das Unternehmen sicherte das Vertrauen von Let's Encrypt-Zertifikaten auf einer Vielzahl von Geräten, Betriebssystemen und Browsern und integrierte das eigene Root-Zertifikat von Let's Encrypt in Root-Zertifikatsspeicher.
Es war ursprünglich geplant, dass, nachdem DST Root CA X3 veraltet ist, das Let's Encrypt-Projekt es wird auf die Generierung von Signaturen umgestellt, die nur Ihr Zertifikat verwenden, aber ein solcher Schritt würde zu einem Verlust der Kompatibilität führen bei vielen alten Systemen, die das nicht taten. Insbesondere haben rund 30 % der eingesetzten Android-Geräte keine Daten zum Let's Encrypt-Root-Zertifikat, dessen Unterstützung erst ab der Ende 7.1.1 veröffentlichten Plattform Android 2016 erschien.
Let's Encrypt plante nicht, eine neue Cross-Signing-Vereinbarung abzuschließen, da dies den Vertragsparteien zusätzliche Verantwortung auferlegt, sie ihrer Unabhängigkeit beraubt und ihre Hände an die Einhaltung aller Verfahren und Regeln einer anderen Zertifizierungsstelle bindet.
Aufgrund möglicher Probleme auf einer großen Anzahl von Android-Geräten wurde der Plan jedoch überarbeitet. Mit der Zertifizierungsstelle IdenTrust wurde eine neue Vereinbarung unterzeichnet, unter der ein alternatives Let's Encrypt-Zwischenzertifikat erstellt wurde. Die Kreuzsignatur ist drei Jahre gültig und auch weiterhin mit Android-Geräten ab Version 2.3.6 kompatibel.
Jedoch das neue Zwischenzertifikat deckt viele andere Altsysteme nicht ab. Nach Ablauf des DST-Root-CA-X3-Zertifikats (heute 30. September) werden beispielsweise Let's Encrypt-Zertifikate auf nicht unterstützten Firmware- und Betriebssystemen nicht mehr akzeptiert ISRG-Wurzel. X1-Zertifikat in den Stammzertifikatspeicher. Die Probleme äußern sich in:
OpenSSL bis einschließlich Branch 1.0.2 (die Pflege von Branch 1.0.2 wurde im Dezember 2019 eingestellt);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Fenster
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Im Fall von OpenSSL 1.0.2, das Problem wird durch einen Fehler verursacht, der die korrekte Handhabung von Zertifikaten verhindert kreuzsigniert, wenn eines der an der Signatur beteiligten Stammzertifikate abläuft, obwohl andere gültige Vertrauensketten erhalten bleiben.
Das Problem erstmals im letzten Jahr nach Ablauf des AddTrust-Zertifikats aufgetaucht wird zum Cross-Signieren von Zertifikaten der Zertifizierungsstelle Sectigo (Comodo) verwendet. Der Kern des Problems besteht darin, dass OpenSSL das Zertifikat als lineare Kette geparst hat, während das Zertifikat nach RFC 4158 ein gerichtetes verteiltes Tortendiagramm mit verschiedenen zu berücksichtigenden Vertrauensankern darstellen kann.
Benutzern älterer Distributionen auf Basis von OpenSSL 1.0.2 werden drei Lösungen angeboten, um das Problem zu lösen:
- Entfernen Sie manuell das Stammzertifikat IdenTrust DST Root CA X3 und installieren Sie das eigenständige Stammzertifikat ISRG Root X1 (keine Kreuzsignierung).
- Geben Sie die Option „–trusted_first“ an, wenn Sie die Befehle openssl verify und s_client ausführen.
- Verwenden Sie ein Zertifikat auf dem Server, das von einem eigenständigen SRG Root X1-Root-Zertifikat zertifiziert ist, das nicht kreuzsigniert ist (Let's Encrypt bietet die Möglichkeit, ein solches Zertifikat anzufordern). Diese Methode führt zum Verlust der Kompatibilität mit alten Android-Clients.
Darüber hinaus hat das Projekt Let's Encrypt den Meilenstein von zwei Milliarden generierten Zertifikaten überschritten. Der Meilenstein von einer Milliarde wurde im Februar letzten Jahres erreicht. Täglich werden 2,2-2,4 Millionen neue Zertifikate generiert. Die Anzahl der aktiven Zertifikate beträgt 192 Millionen (das Zertifikat ist drei Monate gültig) und umfasst rund 260 Millionen Domains (vor einem Jahr umfasste es 195 Millionen Domains, vor zwei Jahren - 150 Millionen, vor drei Jahren - 60 Millionen) .
Laut Statistik des Dienstes Firefox Telemetry beträgt der weltweite Anteil der Seitenaufrufe über HTTPS 82 % (vor einem Jahr – 81 %, vor zwei Jahren – 77 %, vor drei Jahren – 69 %, vor vier Jahren – 58 %).
Quelle: https://scotthelme.co.uk/