Hari ini, 30 September Masa pakai sertifikat root IdenTrust kedaluwarsa dan apakah itu sertifikat? digunakan untuk menandatangani sertifikat Let's Encrypt (ISRG Root X1), dikendalikan oleh komunitas dan memberikan sertifikat gratis untuk semua.
Perusahaan memastikan kepercayaan sertifikat Let's Encrypt pada berbagai perangkat, sistem operasi, dan browser sambil mengintegrasikan sertifikat root Let's Encrypt sendiri ke dalam penyimpanan sertifikat root.
Awalnya direncanakan bahwa setelah DST Root CA X3 kedaluwarsa, proyek Let's Encrypt itu akan beralih ke menghasilkan tanda tangan hanya menggunakan sertifikat Anda, tetapi langkah seperti itu akan menyebabkan hilangnya kompatibilitas dengan banyak sistem lama yang tidak. Secara khusus, sekitar 30% perangkat Android yang digunakan tidak memiliki data pada sertifikat root Let's Encrypt, yang dukungannya hanya muncul pada platform Android 7.1.1, yang dirilis pada akhir 2016.
Let's Encrypt tidak berencana untuk masuk ke dalam perjanjian tanda tangan silang yang baru, karena hal ini membebankan tanggung jawab tambahan pada para pihak dalam perjanjian, merampas kemerdekaan mereka, dan mengikat tangan mereka untuk mematuhi semua prosedur dan aturan dari otoritas sertifikasi lainnya.
Namun karena potensi masalah pada sejumlah besar perangkat Android, rencana tersebut direvisi. Sebuah perjanjian baru telah ditandatangani dengan otoritas sertifikat IdenTrust, di mana alternatif Let's Encrypt antara sertifikat yang ditandatangani silang dibuat. Tanda tangan silang akan berlaku selama tiga tahun dan akan terus kompatibel dengan perangkat Android dari versi 2.3.6.
Namun, sertifikat perantara baru tidak mencakup banyak sistem warisan lainnya. Misalnya, setelah sertifikat DST Root CA X3 kedaluwarsa (hari ini 30 September), sertifikat Let's Encrypt tidak akan lagi diterima pada firmware dan sistem operasi yang tidak didukung, di mana, untuk memastikan kepercayaan pada sertifikat Let's Encrypt, Anda perlu menambahkan secara manual Akar ISRG. Sertifikat X1 untuk menyimpan sertifikat root. Masalah akan terwujud dalam:
OpenSSL hingga dan termasuk cabang 1.0.2 (pemeliharaan cabang 1.0.2 dihentikan pada Desember 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- jendela
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Dalam kasus OpenSSL 1.0.2, masalahnya disebabkan oleh kesalahan yang mencegah penanganan sertifikat yang benar ditandatangani silang jika salah satu sertifikat akar yang terlibat dalam penandatanganan kedaluwarsa, meskipun rantai kepercayaan lain yang valid dipertahankan.
Masalahnya pertama kali muncul tahun lalu setelah berakhirnya sertifikat AddTrust digunakan untuk penandatanganan silang pada sertifikat otoritas sertifikat Sectigo (Comodo). Inti masalahnya adalah OpenSSL menguraikan sertifikat sebagai rantai linier, sedangkan menurut RFC 4158, sertifikat dapat mewakili diagram lingkaran terdistribusi terarah dengan berbagai jangkar kepercayaan yang perlu diperhitungkan.
Pengguna distribusi lama berdasarkan OpenSSL 1.0.2 ditawarkan tiga solusi untuk memecahkan masalah:
- Hapus secara manual sertifikat root IdenTrust DST Root CA X3 dan instal sertifikat root ISRG Root X1 mandiri (tanpa tanda tangan silang).
- Tentukan opsi "–trusted_first" saat menjalankan perintah openssl verification dan s_client.
- Gunakan sertifikat di server yang disertifikasi oleh sertifikat root SRG Root X1 mandiri yang tidak ditandatangani silang (Let's Encrypt menawarkan opsi untuk meminta sertifikat semacam itu). Metode ini akan menyebabkan hilangnya kompatibilitas dengan klien Android lama.
Selain itu, proyek Let's Encrypt telah melewati tonggak dua miliar sertifikat yang dihasilkan. Tonggak satu miliar tercapai pada Februari tahun lalu. Setiap hari 2,2-2,4 juta sertifikat baru dihasilkan. Jumlah sertifikat aktif adalah 192 juta (sertifikat berlaku selama tiga bulan) dan mencakup sekitar 260 juta domain (tahun lalu mencakup 195 juta domain, dua tahun lalu - 150 juta, tiga tahun lalu - 60 juta) .
Menurut statistik dari layanan Firefox Telemetry, pangsa global permintaan halaman melalui HTTPS adalah 82% (satu tahun lalu - 81%, dua tahun lalu - 77%, tiga tahun lalu - 69%, empat tahun lalu - 58%).
sumber: https://scotthelme.co.uk/