Šodien, 30. septembrī, IdenTrust saknes sertifikāta kalpošanas laiks ir beidzies un vai tas ir šis sertifikāts tika izmantots, lai parakstītu sertifikātu Let's šifrēt (ISRG Root X1), ko kontrolē sabiedrība, un visiem bez maksas nodrošināt sertifikātus.
Uzņēmums nodrošināja Let's Encrypt sertifikātu uzticību plašam ierīču, operētājsistēmu un pārlūkprogrammu klāstam, vienlaikus saknes sertifikātu veikalos integrējot Let's Encrypt saknes sertifikātu.
Sākotnēji tika plānots, ka pēc tam, kad DST Root CA X3 ir novecojis, projekts Šifrēsim tas pāriet uz parakstu ģenerēšanu, izmantojot tikai jūsu sertifikātu, taču šāds solis izraisītu saderības zudumu ar daudzām vecām sistēmām, kuras to nedarīja. Jo īpaši aptuveni 30% izmantoto Android ierīču nav datu par saknes sertifikātu Let's Encrypt, kura atbalsts parādījās tikai no platformas Android 7.1.1, kas tika izlaista 2016. gada beigās.
Let's Encrypt neplānoja noslēgt jaunu savstarpējas parakstīšanas līgumu, jo tas uzliek papildu atbildību līguma pusēm, liedz tām neatkarību un sasien rokas, ievērojot visas citas sertifikācijas iestādes procedūras un noteikumus.
Bet, ņemot vērā iespējamās problēmas daudzās Android ierīcēs, plāns tika pārskatīts. Ar sertifikācijas iestādi IdenTrust tika parakstīts jauns līgums, saskaņā ar kuru tika izveidots alternatīvs Šifrēt starpposma parakstītu sertifikātu. Krusteniskais paraksts būs derīgs trīs gadus un joprojām būs saderīgs ar Android ierīcēm no versijas 2.3.6.
Tomēr, jaunais starpposma sertifikāts neaptver daudzas citas mantotās sistēmas. Piemēram, pēc sertifikāta DST Root CA X3 derīguma termiņa beigām (šodien, 30. septembrī) sertifikāti Let's šifrēt vairs netiks pieņemti neatbalstītā programmaparatūrā un operētājsistēmās, kurās, lai nodrošinātu uzticēšanos šifrēšanas sertifikātiem, jums manuāli jāpievieno ISRG sakne. X1 sertifikāts saknes sertifikātu krātuvei. Problēmas izpaudīsies šādi:
OpenSSL līdz filiālei 1.0.2 ieskaitot (filiāles 1.0.2 uzturēšana tika pārtraukta 2019. gada decembrī);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
OpenSSL 1.0.2 gadījumā problēmas cēlonis ir kļūda, kas neļauj pareizi rīkoties ar sertifikātiem savstarpēji parakstīts, ja beidzas viena no parakstīšanā iesaistīto saknes sertifikātu derīguma termiņš, lai gan tiek saglabātas citas derīgas uzticēšanās ķēdes.
Problēma pirmo reizi parādījās pagājušajā gadā pēc AddTrust sertifikāta derīguma termiņa beigām izmanto savstarpējai parakstīšanai Sectigo (Comodo) sertifikācijas iestādes sertifikātos. Problēmas būtība ir tāda, ka OpenSSL parsēja sertifikātu kā lineāru ķēdi, turpretī saskaņā ar RFC 4158 sertifikāts var attēlot virzītu sadalītu sektoru diagrammu ar dažādiem uzticamības enkuriem, kas jāņem vērā.
Vecāku izplatījumu lietotājiem, kuru pamatā ir OpenSSL 1.0.2, tiek piedāvāti trīs risinājumi problēmas risināšanai:
- Manuāli noņemiet IdenTrust DST Root CA X3 saknes sertifikātu un instalējiet atsevišķo ISRG Root X1 saknes sertifikātu (bez savstarpējas parakstīšanas).
- Norādiet opciju "–ticams_pirmais", palaižot OpenSL verifikācijas un s_client komandas.
- Izmantojiet serverī sertifikātu, kas ir sertificēts ar atsevišķu SRG Root X1 saknes sertifikātu, kas nav savstarpēji parakstīts (Let's Encrypt piedāvā iespēju pieprasīt šādu sertifikātu). Šī metode novedīs pie saderības zaudēšanas ar veciem Android klientiem.
Turklāt projekts Let's Encrypt ir izturējis divu miljardu ģenerēto sertifikātu atskaites punktu. Viens miljards pagrieziena punkts tika sasniegts pagājušā gada februārī. Katru dienu tiek ģenerēti 2,2–2,4 miljoni jaunu sertifikātu. Aktīvo sertifikātu skaits ir 192 miljoni (sertifikāts ir derīgs trīs mēnešus) un aptver aptuveni 260 miljonus domēnu (pirms gada tas aptvēra 195 miljonus domēnu, pirms diviem gadiem - 150 miljonus, pirms trim gadiem - 60 miljonus).
Saskaņā ar Firefox telemetrijas pakalpojuma statistiku, globālais lapu pieprasījumu īpatsvars, izmantojot HTTPS, ir 82%(pirms gada - 81%, pirms diviem gadiem - 77%, pirms trim gadiem - 69%, pirms četriem gadiem - 58%).
Fuente: https://scotthelme.co.uk/