Σήμερα, 30 Σεπτεμβρίου, Η διάρκεια ζωής του πιστοποιητικού ρίζας IdenTrust έληξε και είναι αυτό το πιστοποιητικό χρησιμοποιήθηκε για την υπογραφή του πιστοποιητικού Let's Encrypt (ISRG Root X1), ελέγχονται από την κοινότητα και παρέχουν πιστοποιητικά δωρεάν σε όλους.
Η εταιρεία εξασφάλισε την εμπιστοσύνη των πιστοποιητικών Let's Encrypt σε ένα ευρύ φάσμα συσκευών, λειτουργικών συστημάτων και φυλλομετρητών ενώ ενσωμάτωσε το ίδιο το πιστοποιητικό root του Let's Encrypt σε καταστήματα πιστοποιητικών ρίζας.
Αρχικά είχε προγραμματιστεί ότι αφού το DST Root CA X3 είναι ξεπερασμένο, το έργο Let's Encrypt θα μεταβεί στη δημιουργία υπογραφών χρησιμοποιώντας μόνο το πιστοποιητικό σας, αλλά ένα τέτοιο βήμα θα οδηγούσε σε απώλεια συμβατότητας με πολλά παλιά συστήματα που δεν το έκαναν. Συγκεκριμένα, περίπου το 30% των συσκευών Android που χρησιμοποιούνται δεν διαθέτουν δεδομένα σχετικά με το πιστοποιητικό ρίζας Let's Encrypt, η υποστήριξη του οποίου εμφανίστηκε μόνο από την πλατφόρμα Android 7.1.1, που κυκλοφόρησε στα τέλη του 2016.
Η Let's Encrypt δεν σχεδίαζε να συνάψει νέα συμφωνία διασταυρώσεων, καθώς αυτό επιβάλλει πρόσθετη ευθύνη στα μέρη της συμφωνίας, τους στερεί την ανεξαρτησία και δένει τα χέρια τους σε συμμόρφωση με όλες τις διαδικασίες και τους κανόνες μιας άλλης αρχής πιστοποίησης.
Αλλά λόγω πιθανών προβλημάτων σε μεγάλο αριθμό συσκευών Android, το σχέδιο αναθεωρήθηκε. Υπογράφηκε μια νέα συμφωνία με την αρχή πιστοποίησης IdenTrust, βάσει της οποίας δημιουργήθηκε ένα εναλλακτικό πιστοποιητικό Let's Encrypt intermediate. Η διασταυρούμενη υπογραφή θα ισχύει για τρία χρόνια και θα συνεχίσει να είναι συμβατή με συσκευές Android από την έκδοση 2.3.6.
Ωστόσο, το νέο ενδιάμεσο πιστοποιητικό δεν καλύπτει πολλά άλλα παλαιά συστήματα. Για παράδειγμα, μετά τη λήξη του πιστοποιητικού DST Root CA X3 (σήμερα 30 Σεπτεμβρίου), τα πιστοποιητικά Let's Encrypt δεν θα γίνονται πλέον αποδεκτά σε μη υποστηριζόμενο υλικολογισμικό και λειτουργικά συστήματα, στα οποία, για να διασφαλίσετε την εμπιστοσύνη στα πιστοποιητικά Let's Encrypt, θα πρέπει να προσθέσετε μη αυτόματα Ρίζα ISRG. Πιστοποιητικό X1 για αποθήκευση πιστοποιητικών ρίζας. Τα προβλήματα εκδηλώνονται σε:
OpenSSL έως και τον κλάδο 1.0.2 (η συντήρηση του κλάδου 1.0.2 διακόπηκε τον Δεκέμβριο του 2019) ·
- ΕΣΥ <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Στην περίπτωση του OpenSSL 1.0.2, το πρόβλημα προκαλείται από ένα σφάλμα που εμποδίζει τον σωστό χειρισμό των πιστοποιητικών διασταυρωμένο εάν λήξει ένα από τα βασικά πιστοποιητικά που εμπλέκονται στην υπογραφή, αν και διατηρούνται άλλες έγκυρες αλυσίδες εμπιστοσύνης.
το πρόβλημα πρωτοεμφανίστηκε πέρυσι μετά τη λήξη του πιστοποιητικού AddTrust χρησιμοποιείται για διασταύρωση πιστοποιητικών της αρχής πιστοποιητικών Sectigo (Comodo). Η καρδιά του προβλήματος είναι ότι το OpenSSL ανέλυσε το πιστοποιητικό ως γραμμική αλυσίδα, ενώ σύμφωνα με το RFC 4158, το πιστοποιητικό μπορεί να αντιπροσωπεύει ένα κατευθυνόμενο κατανεμημένο διάγραμμα πίτας με διάφορες άγκυρες εμπιστοσύνης που πρέπει να ληφθούν υπόψη.
Στους χρήστες παλαιότερων διανομών που βασίζονται στο OpenSSL 1.0.2 προσφέρονται τρεις λύσεις για την επίλυση του προβλήματος:
- Καταργήστε μη αυτόματα το πιστοποιητικό ρίζας IdenTrust DST Root CA X3 και εγκαταστήστε το αυτόνομο πιστοποιητικό ρίζας ISRG Root X1 (χωρίς διασταυρούμενη υπογραφή).
- Καθορίστε την επιλογή "–πιστοπιστού_πρώτου" κατά την εκτέλεση των εντολών επαλήθευσης openssl και s_client.
- Χρησιμοποιήστε ένα πιστοποιητικό στον διακομιστή που έχει πιστοποιηθεί από ένα αυτόνομο πιστοποιητικό ρίζας SRG Root X1 που δεν είναι διασταυρωμένο (το Let's Encrypt προσφέρει μια επιλογή για να ζητήσετε ένα τέτοιο πιστοποιητικό). Αυτή η μέθοδος θα οδηγήσει σε απώλεια συμβατότητας με παλιά προγράμματα -πελάτες Android.
Επιπλέον, το έργο Let's Encrypt έχει περάσει το ορόσημο των δύο δισεκατομμυρίων πιστοποιητικών που δημιουργήθηκαν. Το ορόσημο του ενός δισεκατομμυρίου έφτασε τον Φεβρουάριο του περασμένου έτους. Κάθε μέρα δημιουργούνται 2,2-2,4 εκατομμύρια νέα πιστοποιητικά. Ο αριθμός των ενεργών πιστοποιητικών είναι 192 εκατομμύρια (το πιστοποιητικό ισχύει για τρεις μήνες) και καλύπτει περίπου 260 εκατομμύρια τομείς (πριν από ένα χρόνο κάλυπτε 195 εκατομμύρια τομείς, δύο χρόνια πριν - 150 εκατομμύρια, τρία χρόνια πριν - 60 εκατομμύρια).
Σύμφωνα με στατιστικά στοιχεία από την υπηρεσία τηλεμετρίας Firefox, το παγκόσμιο μερίδιο των αιτήσεων σελίδας μέσω HTTPS είναι 82%(πριν από ένα χρόνο - 81%, δύο χρόνια πριν - 77%, πριν από τρία χρόνια - 69%, τέσσερα χρόνια πριν - 58%).
πηγή: https://scotthelme.co.uk/