Hari ini, 30 September, Jangka hayat sijil root IdenTrust telah tamat dan adakah sijil ini digunakan untuk menandatangani sijil Let's Encrypt (ISRG Root X1), dikendalikan oleh masyarakat dan memberikan sijil secara percuma kepada semua.
Syarikat ini memastikan kepercayaan sijil Let's Encrypt pada pelbagai peranti, sistem operasi dan penyemak imbas sambil mengintegrasikan sijil root Let's Encrypt sendiri ke kedai sijil root.
Pada mulanya dirancang bahawa setelah DST Root CA X3 sudah lapuk, projek Let's Encrypt ia akan beralih kepada menghasilkan tandatangan hanya dengan menggunakan sijil anda, tetapi langkah seperti itu akan menyebabkan hilangnya keserasian dengan banyak sistem lama yang tidak. Khususnya, sekitar 30% peranti Android yang digunakan tidak memiliki data pada sijil root Let's Encrypt, yang sokongannya hanya muncul pada platform Android 7.1.1, yang dikeluarkan pada akhir 2016.
Let's Encrypt tidak berencana untuk menandatangani perjanjian tanda tangan silang yang baru, kerana ini memberikan tanggungjawab tambahan kepada pihak-pihak dalam perjanjian tersebut, melucutkan kebebasan mereka dan mengikat tangan mereka untuk mematuhi semua prosedur dan peraturan pihak berkuasa lain dari perakuan.
Tetapi disebabkan masalah yang berpotensi pada sebilangan besar peranti Android, rancangan itu disemak semula. Perjanjian baru ditandatangani dengan pihak berkuasa pensijilan IdenTrust, di mana satu sijil tanda silang pertengahan Let's Encrypt dibuat. Tandatangan silang akan sah selama tiga tahun dan akan terus serasi dengan peranti Android dari versi 2.3.6.
Walau bagaimanapun, sijil perantaraan baru tidak merangkumi banyak sistem warisan lain. Contohnya, setelah sijil DST Root CA X3 tamat (hari ini 30 September), sijil Let's Encrypt tidak akan diterima lagi pada firmware dan sistem operasi yang tidak disokong, di mana, untuk memastikan kepercayaan pada sijil Let's Encrypt, anda perlu menambahkan manual Akar ISRG. Sijil X1 ke kedai sijil root. Masalahnya akan terserlah dalam:
OpenSSL hingga dan termasuk cawangan 1.0.2 (penyelenggaraan cawangan 1.0.2 dihentikan pada bulan Disember 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Tingkap
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Dalam kes OpenSSL 1.0.2, masalahnya disebabkan oleh kesalahan yang menghalang pengendalian sijil yang betul ditandatangani silang sekiranya salah satu sijil root yang terlibat dalam penandatanganan tamat, walaupun rantai kepercayaan yang lain masih terpelihara.
Masalahnya pertama kali muncul tahun lalu selepas tamatnya sijil AddTrust digunakan untuk menandatangani silang dalam sijil pihak berkuasa perakuan Sectigo (Comodo). Inti masalahnya ialah OpenSSL menguraikan sijil sebagai rantai linier, sedangkan menurut RFC 4158, sijil dapat mewakili carta pai diedarkan yang diarahkan dengan pelbagai sauh kepercayaan yang perlu diambil kira.
Pengguna sebaran lama berdasarkan OpenSSL 1.0.2 ditawarkan tiga penyelesaian untuk menyelesaikan masalah:
- Keluarkan sijil root IdenTrust DST Root CA X3 secara manual dan pasang sijil root ISRG Root X1 yang berdiri sendiri (tanpa tanda silang).
- Tentukan pilihan "–trusted_first" semasa menjalankan perintah verifikasi dan s_client openssl.
- Gunakan sijil pada pelayan yang diperakui oleh sijil root SRG Root X1 mandiri yang tidak ditandatangani silang (Let's Encrypt menawarkan pilihan untuk meminta sijil tersebut). Kaedah ini akan menyebabkan hilangnya keserasian dengan klien Android lama.
Sebagai tambahan, projek Let's Encrypt telah melepasi pencapaian dua bilion sijil yang dihasilkan. Tonggak satu bilion itu dicapai pada Februari tahun lalu. Setiap hari 2,2-2,4 juta sijil baru dihasilkan. Jumlah sijil aktif adalah 192 juta (sijil itu sah selama tiga bulan) dan merangkumi sekitar 260 juta domain (setahun yang lalu merangkumi 195 juta domain, dua tahun lalu - 150 juta, tiga tahun lalu - 60 juta).
Menurut statistik perkhidmatan Firefox Telemetry, bahagian global permintaan halaman melalui HTTPS adalah 82% (satu tahun lalu - 81%, dua tahun lalu - 77%, tiga tahun lalu - 69%, empat tahun lalu - 58%).
Fuente: https://scotthelme.co.uk/