Oggi, 30 settembre, Durata del certificato radice IdenTrust scaduta ed è che questo certificato? è stato utilizzato per firmare il certificato Let's Encrypt (ISRG Root X1), controllati dalla comunità e forniscono certificati gratuitamente a tutti.
L'azienda ha garantito l'affidabilità dei certificati Let's Encrypt su un'ampia gamma di dispositivi, sistemi operativi e browser integrando il certificato radice di Let's Encrypt negli archivi di certificati radice.
Originariamente era previsto che dopo che DST Root CA X3 fosse obsoleto, il progetto Let's Encrypt passerà alla generazione di firme utilizzando solo il tuo certificato, ma un tale passaggio comporterebbe una perdita di compatibilità con molti vecchi sistemi che non lo facevano. In particolare, circa il 30% dei dispositivi Android in uso non dispone di dati sul certificato root Let's Encrypt, il cui supporto è apparso solo a partire dalla piattaforma Android 7.1.1, rilasciata a fine 2016.
Let's Encrypt non ha previsto di stipulare un nuovo accordo di firma incrociata, poiché ciò impone responsabilità aggiuntive alle parti dell'accordo, le priva della loro indipendenza e le obbliga a rispettare tutte le procedure e le regole di un'altra autorità di certificazione .
Ma a causa di potenziali problemi su un gran numero di dispositivi Android, il piano è stato rivisto. È stato firmato un nuovo accordo con l'autorità di certificazione IdenTrust, in base al quale è stato creato un certificato incrociato intermedio Let's Encrypt alternativo. La firma incrociata sarà valida per tre anni e continuerà ad essere compatibile con i dispositivi Android dalla versione 2.3.6.
Tuttavia, il nuovo certificato intermedio non copre molti altri sistemi legacy. Ad esempio, dopo la scadenza del certificato DST Root CA X3 (oggi 30 settembre), i certificati Let's Encrypt non saranno più accettati su firmware e sistemi operativi non supportati, nei quali, per garantire l'attendibilità dei certificati Let's Encrypt, sarà necessario aggiungere manualmente il Radice ISRG. Certificato X1 nell'archivio certificati radice. I problemi si manifesteranno in:
OpenSSL fino al ramo 1.0.2 incluso (la manutenzione del ramo 1.0.2 è stata interrotta a dicembre 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- finestre
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Nel caso di OpenSSL 1.0.2, il problema è causato da un errore che impedisce la corretta gestione dei certificati firma incrociata se uno dei certificati radice coinvolti nella firma scade, sebbene vengano preservate altre catene di fiducia valide.
Il problema è emerso per la prima volta l'anno scorso dopo la scadenza del certificato AddTrust utilizzato per la firma incrociata nei certificati dell'autorità di certificazione Sectigo (Comodo). Il cuore del problema è che OpenSSL ha analizzato il certificato come una catena lineare, mentre secondo RFC 4158, il certificato può rappresentare un grafico a torta distribuito diretto con vari trust anchor che devono essere presi in considerazione.
Agli utenti di distribuzioni precedenti basate su OpenSSL 1.0.2 vengono offerte tre soluzioni per risolvere il problema:
- Rimuovere manualmente il certificato radice IdenTrust DST Root CA X3 e installare il certificato radice ISRG Root X1 autonomo (nessuna firma incrociata).
- Specificare l'opzione "–trusted_first" durante l'esecuzione dei comandi openssl verificare e s_client.
- Utilizzare un certificato sul server che è certificato da un certificato radice SRG Root X1 autonomo che non è cross-signed (Let's Encrypt offre un'opzione per richiedere tale certificato). Questo metodo porterà alla perdita di compatibilità con i vecchi client Android.
Inoltre, il progetto Let's Encrypt ha superato il traguardo dei due miliardi di certificati generati. Il traguardo del miliardo è stato raggiunto nel febbraio dello scorso anno. Ogni giorno vengono generati 2,2-2,4 milioni di nuovi certificati. Il numero di certificati attivi è di 192 milioni (il certificato è valido tre mesi) e copre circa 260 milioni di domini (un anno fa copriva 195 milioni di domini, due anni fa - 150 milioni, tre anni fa - 60 milioni).
Secondo le statistiche del servizio di telemetria di Firefox, la quota globale di richieste di pagine su HTTPS è dell'82% (un anno fa - 81%, due anni fa - 77%, tre anni fa - 69%, quattro anni fa - 58%).
fonte: https://scotthelme.co.uk/