Vandaag 30 sept. Levensduur van IdenTrust-rootcertificaat verlopen en is dat dit certificaat? werd gebruikt om het Let's Encrypt-certificaat (ISRG Root X1) te ondertekenen, gecontroleerd door de gemeenschap en gratis certificaten aan iedereen verstrekken.
Het bedrijf verzekerde het vertrouwen van Let's Encrypt-certificaten op een breed scala aan apparaten, besturingssystemen en browsers, terwijl het het eigen rootcertificaat van Let's Encrypt integreerde in rootcertificaatarchieven.
Het was oorspronkelijk de bedoeling dat nadat DST Root CA X3 verouderd is, het Let's Encrypt-project het zal overschakelen naar het genereren van handtekeningen met alleen uw certificaat, maar een dergelijke stap zou leiden tot verlies van compatibiliteit met veel oude systemen die dat niet deden. Met name ongeveer 30% van de Android-apparaten die in gebruik zijn, hebben geen gegevens over het Let's Encrypt-rootcertificaat, waarvan de ondersteuning pas verscheen vanaf het Android 7.1.1-platform, dat eind 2016 werd uitgebracht.
Let's Encrypt was niet van plan om een nieuwe cross-signature overeenkomst aan te gaan, omdat dit extra verantwoordelijkheid oplegt aan de partijen bij de overeenkomst, hen hun onafhankelijkheid ontneemt en hun handen bindt bij het naleven van alle procedures en regels van een andere certificeringsinstantie.
Maar vanwege mogelijke problemen op een groot aantal Android-apparaten werd het plan herzien. Er is een nieuwe overeenkomst getekend met de certificeringsinstantie IdenTrust, waaronder een alternatief Let's Encrypt intermediate cross-signed certificaat is gemaakt. De kruishandtekening is drie jaar geldig en blijft vanaf versie 2.3.6 compatibel met Android-apparaten.
Echter het nieuwe tussentijdse certificaat dekt niet veel andere legacy-systemen. Nadat het DST Root CA X3-certificaat bijvoorbeeld is verlopen (vandaag 30 september), worden Let's Encrypt-certificaten niet langer geaccepteerd op niet-ondersteunde firmware en besturingssystemen. Om het vertrouwen in Let's Encrypt-certificaten te garanderen, moet u handmatig de ISRG wortel. X1-certificaat naar rootcertificaatarchief. De problemen manifesteren zich in:
OpenSSL tot en met branch 1.0.2 (onderhoud van branch 1.0.2 is in december 2019 stopgezet);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- ramen
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
In het geval van OpenSSL 1.0.2, het probleem wordt veroorzaakt door een fout die de juiste verwerking van certificaten verhindert kruiselings ondertekend als een van de rootcertificaten die betrokken zijn bij het ondertekenen verloopt, hoewel andere geldige vertrouwensketens behouden blijven.
Het probleem verscheen vorig jaar voor het eerst na het verlopen van het AddTrust-certificaat gebruikt voor cross-signing op certificaten van de Sectigo (Comodo) certificeringsinstantie. De kern van het probleem is dat OpenSSL het certificaat als een lineaire keten heeft geparseerd, terwijl het certificaat volgens RFC 4158 een gericht gedistribueerd cirkeldiagram kan vertegenwoordigen met verschillende trust anchors waarmee rekening moet worden gehouden.
Gebruikers van oudere distributies op basis van OpenSSL 1.0.2 krijgen drie oplossingen aangeboden om het probleem op te lossen:
- Verwijder handmatig het IdenTrust DST Root CA X3-rootcertificaat en installeer het zelfstandige ISRG Root X1-rootcertificaat (geen kruisondertekening).
- Specificeer de "–trusted_first" optie bij het uitvoeren van de openssl-verificatie- en s_client-opdrachten.
- Gebruik een certificaat op de server dat is gecertificeerd door een standalone SRG Root X1-rootcertificaat dat niet kruiselings is ondertekend (Let's Encrypt biedt een optie om zo'n certificaat aan te vragen). Deze methode leidt tot verlies van compatibiliteit met oude Android-clients.
Bovendien heeft het Let's Encrypt-project de mijlpaal van twee miljard gegenereerde certificaten gepasseerd. In februari vorig jaar werd de mijlpaal van één miljard bereikt. Elke dag worden er 2,2-2,4 miljoen nieuwe certificaten gegenereerd. Het aantal actieve certificaten bedraagt 192 miljoen (het certificaat is drie maanden geldig) en omvat ongeveer 260 miljoen domeinen (een jaar geleden omvatte het 195 miljoen domeinen, twee jaar geleden - 150 miljoen, drie jaar geleden - 60 miljoen).
Volgens statistieken van de Firefox Telemetry-service is het wereldwijde aandeel van paginaverzoeken via HTTPS 82% (een jaar geleden - 81%, twee jaar geleden - 77%, drie jaar geleden - 69%, vier jaar geleden - 58%).
bron: https://scotthelme.co.uk/