I dag, 30. september, Levetiden til IdenTrust -rotsertifikatet er utløpt og er dette sertifikatet ble brukt til å signere Let's Encrypt -sertifikatet (ISRG Root X1), kontrollert av samfunnet og gir gratis sertifikater til alle.
Firmaet sikret tilliten til Let's Encrypt -sertifikater på et bredt spekter av enheter, operativsystemer og nettlesere, mens vi integrerte Let's Encrypts eget rotsertifikat i rotsertifikatlagre.
Det var opprinnelig planlagt at etter DST Root CA X3 er utdatert, Let's Encrypt -prosjektet det vil gå over til å generere signaturer som bare bruker sertifikatet ditt, men et slikt trinn vil føre til tap av kompatibilitet med mange gamle systemer som ikke gjorde det. Spesielt har rundt 30% av Android -enheter i bruk ikke data om Let's Encrypt -rotsertifikatet, hvis støtte bare dukket opp fra Android 7.1.1 -plattformen, utgitt i slutten av 2016.
Let's Encrypt hadde ikke tenkt å inngå en ny kryssignaturavtale, ettersom dette pålegger ytterligere ansvar for avtalepartene, fratar dem uavhengighet og knytter hendene til å overholde alle prosedyrer og regler fra en annen myndighet i sertifisering.
Men på grunn av potensielle problemer på et stort antall Android -enheter ble planen revidert. En ny avtale ble signert med IdenTrust-sertifikatmyndigheten, der et alternativt Let's Encrypt-mellomliggende kryssignert sertifikat ble opprettet. Krysssignaturen vil være gyldig i tre år og vil fortsatt være kompatibel med Android -enheter fra versjon 2.3.6.
Imidlertid det nye mellomsertifikatet dekker ikke mange andre eldre systemer. For eksempel, etter at DST Root CA X3 -sertifikatet utløper (i dag 30. september), vil Let's Encrypt -sertifikater ikke lenger bli akseptert på fastvare og operativsystemer som ikke støttes, for å sikre tillit til Let's Encrypt -sertifikater må du manuelt legge til ISRG -rot. X1 -sertifikat til rotsertifikatlageret. Problemene vil manifestere seg i:
OpenSSL til og med gren 1.0.2 (vedlikehold av gren 1.0.2 ble avviklet i desember 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Når det gjelder OpenSSL 1.0.2, problemet er forårsaket av en feil som forhindrer korrekt håndtering av sertifikater kryssignert hvis ett av rotsertifikatene som er involvert i signeringen utløper, selv om andre gyldige tillitskjeder er bevart.
Problemet dukket først opp i fjor etter utløpet av AddTrust -sertifikatet brukes til kryssignering av sertifikater fra Sectigo (Comodo) sertifikatmyndighet. Hjertet i problemet er at OpenSSL analyserte sertifikatet som en lineær kjede, mens sertifikatet ifølge RFC 4158 kan representere et rettet distribuert kakediagram med forskjellige tillitsanker som må tas i betraktning.
Brukere av eldre distribusjoner basert på OpenSSL 1.0.2 tilbys tre løsninger for å løse problemet:
- Fjern IdenTrust DST Root CA X3 rotsertifikat manuelt og installer det frittstående ISRG Root X1 rotsertifikatet (ingen kryssignering).
- Spesifiser alternativet "–trusted_first" når du kjører kommandoen openssl verify og s_client.
- Bruk et sertifikat på serveren som er sertifisert av et frittstående SRG Root X1-rotsertifikat som ikke er kryssignert (La oss kryptere tilbyr et alternativ for å be om et slikt sertifikat). Denne metoden vil føre til tap av kompatibilitet med gamle Android -klienter.
I tillegg har Let's Encrypt -prosjektet passert milepælen på to milliarder genererte sertifikater. Milepælen på en milliard ble nådd i februar i fjor. Hver dag genereres 2,2-2,4 millioner nye sertifikater. Antall aktive sertifikater er 192 millioner (sertifikatet er gyldig i tre måneder) og dekker rundt 260 millioner domener (for et år siden dekket det 195 millioner domener, for to år siden - 150 millioner, for tre år siden - 60 millioner).
Ifølge statistikk fra Firefox Telemetry -tjenesten er den globale andelen av sideforespørsler over HTTPS 82%(ett år siden - 81%, to år siden - 77%, tre år siden - 69%, fire år siden - 58%).
Fuente: https://scotthelme.co.uk/