今日、30月XNUMX日 IdenTrustルート証明書の有効期限が切れました そしてそれはこの証明書です Let's Encrypt証明書(ISRGルートX1)に署名するために使用されました、コミュニティによって管理され、すべての人に無料で証明書を提供します。
同社は、Let's Encryptの独自のルート証明書をルート証明書ストアに統合しながら、さまざまなデバイス、オペレーティングシステム、およびブラウザーでLet'sEncrypt証明書の信頼を確保しました。
DSTルートCAX3が古くなった後、当初は計画されていました。 Let'sEncryptプロジェクト 証明書のみを使用して署名を生成するように切り替わりますが、そのような手順を実行すると互換性が失われます そうしなかった古いシステムがたくさんあります。 特に、使用中のAndroidデバイスの約30%は、Let's Encryptのルート証明書に関するデータを持っていません。この証明書のサポートは、7.1.1年末にリリースされたAndroid2016プラットフォームの時点でのみ表示されています。
Let's Encryptは、新しい相互署名契約を締結する予定はありませんでした。これは、契約の当事者に追加の責任を課し、当事者の独立性を奪い、別の認証機関のすべての手順と規則を遵守することに手を結びます。
しかし、多数のAndroidデバイスで問題が発生する可能性があるため、計画が修正されました。 IdenTrust認証局と新しい契約が締結され、その下で代替のLet'sEncrypt中間相互署名証明書が作成されました。 相互署名は2.3.6年間有効であり、バージョンXNUMX以降のAndroidデバイスとの互換性を維持します。
しかし、 新しい中間証明書は、他の多くのレガシーシステムをカバーしていません。 たとえば、DSTルートCA X3証明書の有効期限が切れると(本日30月1日)、Let's Encrypt証明書は、サポートされていないファームウェアおよびオペレーティングシステムでは受け入れられなくなります。この場合、Let's Encrypt証明書の信頼を確保するには、手動で追加する必要があります。 ISRGルート。 XXNUMX証明書からルート証明書ストアへ。 問題は次のように現れます。
ブランチ1.0.2までのOpenSSL(ブランチ1.0.2のメンテナンスは2019年XNUMX月に廃止されました)。
- NSS <3,26
- Java 8 <8u141、Java 7 <7u151
- ウィンドウズ
- macOS <10.12.1
- iOS <10(iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
OpenSSL 1.0.2の場合、 この問題は、証明書の正しい処理を妨げるエラーが原因で発生します 署名に関係するルート証明書のXNUMXつが期限切れになった場合、クロス署名されますが、他の有効な信頼のチェーンは保持されます。
問題 AddTrust証明書の有効期限が切れた後、昨年最初に登場しました Sectigo(Comodo)認証局の証明書の相互署名に使用されます。 問題の核心は、OpenSSLが証明書を線形チェーンとして解析したのに対し、RFC 4158によれば、証明書は、考慮する必要のあるさまざまなトラストアンカーを備えた有向分散円グラフを表すことができるということです。
OpenSSL 1.0.2に基づく古いディストリビューションのユーザーには、問題を解決するためのXNUMXつのソリューションが提供されます。
- IdenTrustDSTルートCAX3ルート証明書を手動で削除し、スタンドアロンISRGルートX1ルート証明書をインストールします(クロス署名なし)。
- openssl verifyコマンドとs_clientコマンドを実行するときに、「– trusted_first」オプションを指定します。
- クロス署名されていないスタンドアロンのSRGルートX1ルート証明書によって認定されたサーバー上の証明書を使用します(Let's Encryptには、そのような証明書を要求するオプションがあります)。 この方法では、古いAndroidクライアントとの互換性が失われます。
さらに、Let's Encryptプロジェクトは、生成された2,2億の証明書のマイルストーンを通過しました。 昨年2,4月に192億マイルストーンに到達しました。 毎日260万から195万の新しい証明書が生成されます。 アクティブな証明書の数は150億60万(証明書はXNUMXか月間有効)で、約XNUMX億XNUMX万のドメインをカバーしています(XNUMX年前はXNUMX億XNUMX万のドメイン、XNUMX年前はXNUMX億XNUMX万、XNUMX年前はXNUMX万)。
Firefox Telemetryサービスの統計によると、HTTPSを介したページリクエストの世界的なシェアは82%です(81年前-77%、69年前-58%、XNUMX年前-XNUMX%、XNUMX年前-XNUMX%)。