Dzisiaj 30 września Okres ważności certyfikatu głównego IdenTrust wygasł i czy to ten certyfikat został użyty do podpisania certyfikatu Let's Encrypt (ISRG Root X1), kontrolowane przez społeczność i bezpłatnie udostępniać wszystkim certyfikaty.
Firma zapewniła zaufanie certyfikatów Let's Encrypt na szerokiej gamie urządzeń, systemów operacyjnych i przeglądarek, jednocześnie integrując własny certyfikat główny Let's Encrypt z głównymi magazynami certyfikatów.
Pierwotnie planowano, że po tym, jak DST Root CA X3 stanie się nieaktualny, projekt Let's Encrypt przełączy się na generowanie podpisów przy użyciu tylko Twojego certyfikatu, ale taki krok prowadziłby do utraty kompatybilności z wieloma starymi systemami, które tego nie robiły. W szczególności około 30% używanych urządzeń z Androidem nie posiada danych dotyczących certyfikatu głównego Let's Encrypt, którego wsparcie pojawiło się dopiero od platformy Android 7.1.1, wydanej pod koniec 2016 roku.
Let's Encrypt nie planował zawarcia nowej umowy z podpisem krzyżowym, ponieważ nakłada to dodatkową odpowiedzialność na strony umowy, odbiera im niezależność i wiąże ręce w przestrzeganiu wszystkich procedur i zasad innego organu certyfikującego.
Jednak ze względu na potencjalne problemy na dużej liczbie urządzeń z Androidem plan został zmieniony. Podpisano nową umowę z urzędem certyfikacji IdenTrust, na mocy której utworzono alternatywny certyfikat pośredniczący z podpisem krzyżowym Let's Encrypt. Podpis krzyżowy będzie ważny przez trzy lata i nadal będzie kompatybilny z urządzeniami z systemem Android od wersji 2.3.6.
Jednak nowy certyfikat pośredni nie obejmuje wielu innych starszych systemów. Na przykład po wygaśnięciu certyfikatu DST Root CA X3 (dzisiaj 30 września) certyfikaty Let's Encrypt nie będą już akceptowane w nieobsługiwanym oprogramowaniu układowym i systemach operacyjnych, w których, aby zapewnić zaufanie do certyfikatów Let's Encrypt, trzeba będzie ręcznie dodać Korzeń ISRG. Certyfikat X1 do głównego magazynu certyfikatów. Problemy objawią się w:
OpenSSL do gałęzi 1.0.2 włącznie (utrzymanie gałęzi 1.0.2 zostało przerwane w grudniu 2019 r.);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Okna
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
W przypadku OpenSSL 1.0.2, problem jest spowodowany błędem uniemożliwiającym prawidłową obsługę certyfikatów z podpisem krzyżowym, jeśli jeden z certyfikatów głównych zaangażowanych w podpisywanie wygaśnie, chociaż zachowywane są inne prawidłowe łańcuchy zaufania.
Problem pierwszy pojawił się w zeszłym roku po wygaśnięciu certyfikatu AddTrust służy do krzyżowego podpisywania w certyfikatach urzędu certyfikacji Sectigo (Comodo). Sedno problemu polega na tym, że OpenSSL przeanalizował certyfikat jako łańcuch liniowy, podczas gdy zgodnie z RFC 4158 certyfikat może reprezentować ukierunkowany rozproszony wykres kołowy z różnymi kotwicami zaufania, które należy wziąć pod uwagę.
Użytkownikom starszych dystrybucji opartych na OpenSSL 1.0.2 proponujemy trzy rozwiązania problemu:
- Ręcznie usuń certyfikat główny IdenTrust DST Root CA X3 i zainstaluj autonomiczny certyfikat główny ISRG Root X1 (bez podpisywania krzyżowego).
- Określ opcję „–trusted_first” podczas uruchamiania poleceń openssl Verify i s_client.
- Użyj certyfikatu na serwerze, który jest certyfikowany przez samodzielny certyfikat główny SRG Root X1, który nie jest podpisany krzyżowo (Let's Encrypt oferuje opcję zażądania takiego certyfikatu). Ta metoda doprowadzi do utraty kompatybilności ze starymi klientami Androida.
Ponadto projekt Let's Encrypt przekroczył granicę dwóch miliardów wygenerowanych certyfikatów. Miliardowy kamień milowy został osiągnięty w lutym ubiegłego roku. Każdego dnia generowanych jest 2,2-2,4 mln nowych certyfikatów. Liczba aktywnych certyfikatów wynosi 192 mln (certyfikat jest ważny 260 miesiące) i obejmuje około 195 mln domen (rok temu obejmował 150 mln domen, dwa lata temu 60 mln, trzy lata temu XNUMX mln).
Według statystyk serwisu Firefox Telemetry globalny udział żądań stron przez HTTPS wynosi 82% (rok temu - 81%, dwa lata temu - 77%, trzy lata temu - 69%, cztery lata temu - 58%).
źródło: https://scotthelme.co.uk/