Ma, szeptember 30. Az IdenTrust gyökértanúsítvány élettartama lejárt és ez a bizonyítvány a Let's Encrypt tanúsítvány aláírására használták (ISRG Root X1), amelyet a közösség irányít, és mindenki számára ingyenesen biztosít tanúsítványokat.
A cég biztosította a Let's Encrypt tanúsítványok bizalmát eszközök, operációs rendszerek és böngészők széles körében, miközben a Let's Encrypt saját gyökértanúsítványát integrálta a gyökértanúsítvány -tárolókba.
Eredetileg azt tervezték, hogy miután a DST Root CA X3 elavult, a Titkosítsuk projektet átvált az aláírások generálására, csak a tanúsítvány használatával, de egy ilyen lépés a kompatibilitás elvesztéséhez vezetne sok régi rendszerrel, amelyek nem. Különösen a használt Android -eszközök körülbelül 30% -a nem rendelkezik adatokkal a Let's Encrypt gyökértanúsítványon, amelynek támogatása csak a 7.1.1 végén megjelent Android 2016 platformon jelent meg.
A Let's Encrypt nem tervezte, hogy új aláírási megállapodást kössön, mivel ez további felelősséget ró a megállapodás feleire, megfosztja őket a függetlenségtől, és összeköti a kezét, hogy megfeleljen egy másik tanúsító hatóság minden eljárásának és szabályának.
De a sok Android -eszközön felmerülő esetleges problémák miatt a tervet felülvizsgálták. Új megállapodást írtak alá az IdenTrust tanúsító hatósággal, amelynek keretében létrejött egy alternatív Letöltés titkosítása köztes aláírt tanúsítvány. A kereszt aláírás három évig lesz érvényben, és továbbra is kompatibilis lesz az Android -eszközökkel a 2.3.6 -os verziótól.
Azonban, az új köztes tanúsítvány nem terjed ki sok más régebbi rendszerre. Például a DST Root CA X3 tanúsítvány lejártát követően (ma, szeptember 30 -án) a Let Encrypt tanúsítványokat a továbbiakban nem fogadjuk el a nem támogatott firmware -en és operációs rendszereken, amelyekben a Let's Encrypt tanúsítványokba vetett bizalom biztosítása érdekében manuálisan kell hozzáadnia a ISRG gyökér. X1 tanúsítvány a root tanúsítványtárolóhoz. A problémák a következőkben nyilvánulnak meg:
OpenSSL az 1.0.2 ágig bezárólag (az 1.0.2 ág karbantartása 2019 decemberében megszűnt);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- ablakok
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
OpenSSL 1.0.2 esetén, a problémát olyan hiba okozza, amely megakadályozza a tanúsítványok helyes kezelését kereszt aláírással, ha az aláírásban részt vevő egyik gyökértanúsítvány lejár, bár más érvényes bizalmi lánc megmarad.
A probléma először tavaly jelent meg, miután lejárt az AddTrust tanúsítvány a Sectigo (Comodo) tanúsító hatóság tanúsítványainak kereszt aláírására használják. A probléma lényege, hogy az OpenSSL lineáris láncként elemezte a tanúsítványt, míg az RFC 4158 szerint a tanúsítvány egy irányított elosztott kördiagramot képviselhet különböző bizalmi horgonyokkal, amelyeket figyelembe kell venni.
Az OpenSSL 1.0.2 alapú régebbi disztribúciók felhasználóinak három megoldást kínálnak a probléma megoldására:
- Távolítsa el kézzel az IdenTrust DST Root CA X3 gyökértanúsítványt, és telepítse az önálló ISRG Root X1 gyökértanúsítványt (kereszt aláírás nélkül).
- Adja meg a "–megbízható_első" opciót az openssl ellenőrző és az s_client parancsok futtatásakor.
- Használjon olyan tanúsítványt a szerveren, amelyet önálló SRG Root X1 gyökértanúsítvány tanúsít, és nincs aláírva (a Let's Encrypt lehetőséget kínál egy ilyen tanúsítvány kérésére). Ez a módszer a régi Android -ügyfelekkel való kompatibilitás elvesztéséhez vezet.
Ezenkívül a Let's Encrypt projekt túllépte a kétmilliárd tanúsítvány mérföldkőjét. Az egymilliárd mérföldkövet tavaly februárban érték el. Naponta 2,2-2,4 millió új tanúsítvány jön létre. Az aktív tanúsítványok száma 192 millió (a tanúsítvány három hónapig érvényes), és körülbelül 260 millió domainre terjed ki (egy évvel ezelőtt 195 millió, két évvel ezelőtt - 150 millió, három évvel ezelőtt - 60 millió).
A Firefox telemetriai szolgáltatás statisztikái szerint a HTTPS -en keresztüli oldalkérések globális részesedése 82%(egy éve - 81%, két évvel ezelőtt - 77%, három évvel ezelőtt - 69%, négy évvel ezelőtt - 58%).
forrás: https://scotthelme.co.uk/