Täna, 30. septembril IdenTrust juursertifikaadi eluiga on lõppenud ja kas see on see tunnistus kasutati sertifikaadi Let's Encrypt allkirjastamiseks (ISRG juur X1), mida kontrollib kogukond ja mis annavad kõigile tasuta sertifikaate.
Ettevõte kindlustas Let's Encrypt sertifikaatide usalduse paljudes seadmetes, operatsioonisüsteemides ja brauserites, samal ajal integreerides Let's Encrypt enda juursertifikaadi juursertifikaatide kauplustesse.
Algselt plaaniti, et pärast seda, kui DST Root CA X3 on aegunud, projekt Let's Encrypt see läheb üle allkirjade genereerimisele, kasutades ainult teie sertifikaati, kuid selline samm tooks kaasa ühilduvuse kadumise paljude vanade süsteemidega, mis seda ei teinud. Eelkõige puuduvad umbes 30% kasutusel olevatest Android -seadmetest andmed Let's Encrypt juursertifikaadi kohta, mille tugi ilmus alles alates Android 7.1.1 platvormist, mis ilmus 2016. aasta lõpus.
Let's Encrypt ei plaaninud sõlmida uut allkirjastamise lepingut, kuna see paneb lepingu osapooltele lisavastutuse, võtab neilt sõltumatuse ja seob käed kinni kõigi teiste sertifitseerimisasutuste protseduuridest ja reeglitest.
Kuid paljude Android -seadmete võimalike probleemide tõttu vaadati plaan läbi. Sertifitseerimisasutusega IdenTrust allkirjastati uus leping, mille alusel loodi alternatiivne krüptida vahepealne rist allkirjastatud sertifikaat. Ristsignatuur kehtib kolm aastat ja ühildub Android -seadmetega alates versioonist 2.3.6.
Kuid uus vahesertifikaat ei hõlma paljusid teisi pärandsüsteeme. Näiteks pärast DST Root CA X3 sertifikaadi aegumist (täna, 30. septembril) ei aktsepteerita Let's Encrypt sertifikaate enam toetamata püsivara ja operatsioonisüsteemide puhul, millesse, et tagada usaldus krüptida sertifikaate, peate käsitsi lisama ISRG juur. X1 sertifikaat juursertifikaatide poodi. Probleemid avalduvad järgmiselt:
OpenSSL kuni haru 1.0.2 (kaasa arvatud) (haru 1.0.2 hooldus lõpetati detsembris 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
OpenSSL 1.0.2 puhul probleemi põhjustab tõrge, mis takistab sertifikaatide õiget käsitsemist rist allkirjastatud, kui üks allkirjastamisega seotud juursertifikaatidest aegub, kuigi muud kehtivad usaldusahelad on säilinud.
probleem ilmus esmakordselt eelmisel aastal pärast AddTrust sertifikaadi aegumist kasutatakse Sectigo (Comodo) sertifitseerimisasutuse sertifikaatide ristkirjastamiseks. Probleemi tuum on selles, et OpenSSL sõelus sertifikaadi lineaarse ahelana, samas kui vastavalt standardile RFC 4158 võib sertifikaat kujutada suunatud hajutatud sektordiagrammi koos erinevate usaldusankrutega, mida tuleb arvesse võtta.
OpenSSL 1.0.2 -l põhinevate vanemate distributsioonide kasutajatele pakutakse probleemi lahendamiseks kolme lahendust:
- Eemaldage käsitsi IdenTrust DST Root CA X3 juursert ja installige eraldiseisev ISRG Root X1 juursert (rist allkirjastamata).
- Määrake suvand "–trusted_first", käivitades OpenSL -i kontrollimise ja s_client käsud.
- Kasutage serveris sertifikaati, mille on sertifitseerinud eraldiseisev SRG Root X1 juursert, mis ei ole rist allkirjastatud (Let's Encrypt pakub võimalust sellist sertifikaati taotleda). See meetod viib ühilduvuse kadumiseni vanade Androidi klientidega.
Lisaks on projekt Let's Encrypt läbinud kahe miljardi loodud sertifikaadi verstaposti. Miljard verstapost saavutati eelmise aasta veebruaris. Iga päev luuakse 2,2–2,4 miljonit uut sertifikaati. Aktiivsete sertifikaatide arv on 192 miljonit (sertifikaat kehtib kolm kuud) ja hõlmab umbes 260 miljonit domeeni (aasta tagasi hõlmas see 195 miljonit domeeni, kaks aastat tagasi - 150 miljonit, kolm aastat tagasi - 60 miljonit).
Firefoxi telemeetriateenuse statistika kohaselt on HTTPS -i kaudu ülemaailmne lehepäringute osakaal 82%(aasta tagasi - 81%, kaks aastat tagasi - 77%, kolm aastat tagasi - 69%, neli aastat tagasi - 58%).
allikas: https://scotthelme.co.uk/