Danas, 30. rujna, IdenTrust korijenski certifikat je istekao i je li to ovaj certifikat korišten je za potpisivanje certifikata Let's Encrypt (ISRG Root X1), pod kontrolom zajednice i besplatno daju certifikate svima.
Tvrtka je osigurala povjerenje Let's Encrypt certifikata na širokom rasponu uređaja, operativnih sustava i preglednika integrirajući vlastiti korijenski certifikat Let's Encrypt u skladišta korijenskih certifikata.
Prvotno je bilo planirano da nakon što je DST Root CA X3 zastario, projekt Let's Encrypt preći će na generiranje potpisa koristeći samo vaš certifikat, no takav bi korak doveo do gubitka kompatibilnosti s puno starih sustava koji nisu. Konkretno, oko 30% Android uređaja u upotrebi nema podatke o korijenskom certifikatu Let's Encrypt, čija se podrška pojavila tek od platforme Android 7.1.1, objavljene krajem 2016. godine.
Let's Encrypt nije planirao sklapanje novog sporazuma o unakrsnom potpisivanju jer to strankama sporazuma nameće dodatnu odgovornost, lišava ih neovisnosti i veže im ruke u skladu sa svim postupcima i pravilima drugog tijela za ovjeru.
No, zbog potencijalnih problema na velikom broju Android uređaja, plan je revidiran. Potpisan je novi ugovor s certifikacijskim tijelom IdenTrust, prema kojem je stvorena alternativna Potvrda s križanim potpisom Let's Encrypt. Križni potpis vrijedit će tri godine i nastavit će biti kompatibilan s Android uređajima od verzije 2.3.6.
Međutim, novi posredni certifikat ne pokriva mnoge druge naslijeđene sustave. Na primjer, nakon isteka DST Root CA X3 certifikata (danas 30. rujna), Let's Encrypt certifikati više neće biti prihvaćeni na nepodržanom firmware -u i operacijskim sustavima, u kojima ćete, kako biste osigurali povjerenje u Let's Encrypt certifikate, morati ručno dodati ISRG korijen. X1 certifikat u korijensko spremište certifikata. Problemi će se očitovati u:
OpenSSL do grane 1.0.2 uključujući (održavanje podružnice 1.0.2 prekinuto je u prosincu 2019.);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
U slučaju OpenSSL 1.0.2, problem je uzrokovan pogreškom koja sprječava pravilno rukovanje certifikatima križno potpisani ako istekne jedan od korijenskih certifikata uključenih u potpisivanje, iako su ostali valjani lanci povjerenja sačuvani.
problem prvi put se pojavio prošle godine nakon isteka certifikata AddTrust koristi se za unakrsno potpisivanje certifikata Sectigo (Comodo) certifikacijskog tijela. Srce problema je u tome što je OpenSSL raščlanio certifikat kao linearni lanac, dok prema RFC 4158 certifikat može predstavljati usmjereni distribuirani tortni grafikon s različitim sidrima povjerenja koje je potrebno uzeti u obzir.
Korisnicima starijih distribucija temeljenih na OpenSSL 1.0.2 ponuđena su tri rješenja za rješavanje problema:
- Ručno uklonite korijenski certifikat IdenTrust DST Root CA X3 i instalirajte samostalni korijenski certifikat ISRG Root X1 (bez unakrsnog potpisivanja).
- Navedite opciju "–trusted_first" prilikom izvođenja naredbi openssl verify i s_client.
- Upotrijebite certifikat na poslužitelju koji je certificiran samostalnim korijenskim certifikatom SRG Root X1 koji nije unakrsno potpisan (Let's Encrypt nudi mogućnost traženja takvog certifikata). Ova metoda će dovesti do gubitka kompatibilnosti sa starim Android klijentima.
Osim toga, projekt Let's Encrypt prešao je prekretnicu od dvije milijarde generiranih certifikata. Prekretnica od milijardu dosegnuta je u veljači prošle godine. Svaki dan generira se 2,2-2,4 milijuna novih certifikata. Broj aktivnih certifikata je 192 milijuna (certifikat vrijedi tri mjeseca) i pokriva oko 260 milijuna domena (prije godinu dana pokrivao je 195 milijuna domena, prije dvije godine - 150 milijuna, prije tri godine - 60 milijuna).
Prema statistikama Firefoxove telemetrijske usluge, globalni udio zahtjeva stranica preko HTTPS -a iznosi 82%(prije godinu dana - 81%, prije dvije godine - 77%, prije tri godine - 69%, prije četiri godine - 58%).
izvor: https://scotthelme.co.uk/