Hoje, 30 de setembro, A vida útil do certificado raiz IdenTrust expirou e é esse certificado foi usado para assinar o certificado Let's Encrypt (ISRG Root X1), controlada pela comunidade e fornece certificados gratuitamente para todos.
A empresa garantiu a confiança dos certificados Let's Encrypt em uma ampla gama de dispositivos, sistemas operacionais e navegadores, integrando o próprio certificado raiz do Let's Encrypt em armazenamentos de certificados raiz.
Foi planejado originalmente que, após o DST Root CA X3 estar desatualizado, o projeto Let's Encrypt ele passará a gerar assinaturas usando apenas o seu certificado, mas tal etapa levaria a uma perda de compatibilidade com muitos sistemas antigos que não funcionavam. Em particular, cerca de 30% dos dispositivos Android em uso não possuem dados no certificado raiz Let's Encrypt, cujo suporte apareceu apenas a partir da plataforma Android 7.1.1, lançada no final de 2016.
A Let's Encrypt não planejou celebrar um novo acordo de assinatura cruzada, pois isso impõe responsabilidade adicional às partes do acordo, priva-as de independência e vincula suas mãos ao cumprimento de todos os procedimentos e regras de outra autoridade de certificação.
Mas, devido a possíveis problemas em um grande número de dispositivos Android, o plano foi revisado. Um novo contrato foi assinado com a autoridade de certificação IdenTrust, sob o qual um certificado alternativo de assinatura cruzada intermediário Let's Encrypt foi criado. A assinatura cruzada será válida por três anos e continuará a ser compatível com dispositivos Android a partir da versão 2.3.6.
No entanto, o novo certificado intermediário não cobre muitos outros sistemas legados. Por exemplo, após a expiração do certificado DST Root CA X3 (hoje, 30 de setembro), os certificados Let's Encrypt não serão mais aceitos em firmware e sistemas operacionais não suportados, nos quais, para garantir a confiança nos certificados Let's Encrypt, você precisará adicionar manualmente o Raiz ISRG. Certificado X1 para armazenamento de certificados raiz. Os problemas se manifestarão em:
OpenSSL até e incluindo o ramo 1.0.2 (a manutenção do ramo 1.0.2 foi descontinuada em dezembro de 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- janelas
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
No caso do OpenSSL 1.0.2, o problema é causado por um erro que impede o tratamento correto dos certificados com assinatura cruzada se um dos certificados raiz envolvidos na assinatura expirar, embora outras cadeias de confiança válidas sejam preservadas.
O problema surgiu pela primeira vez no ano passado após a expiração do certificado AddTrust usado para assinatura cruzada em certificados da autoridade de certificação Sectigo (Comodo). O cerne do problema é que o OpenSSL analisou o certificado como uma cadeia linear, ao passo que, de acordo com a RFC 4158, o certificado pode representar um gráfico de pizza distribuído direcionado com várias âncoras de confiança que precisam ser levadas em consideração.
Os usuários de distribuições mais antigas baseadas no OpenSSL 1.0.2 recebem três soluções para resolver o problema:
- Remova manualmente o certificado raiz IdenTrust DST Root CA X3 e instale o certificado raiz ISRG Root X1 autônomo (sem assinatura cruzada).
- Especifique a opção "–trusted_first" ao executar os comandos openssl verify e s_client.
- Use um certificado no servidor que seja certificado por um certificado raiz SRG Root X1 autônomo que não seja assinado de forma cruzada (Let's Encrypt oferece uma opção para solicitar tal certificado). Esse método levará à perda de compatibilidade com clientes Android antigos.
Além disso, o projeto Let's Encrypt ultrapassou a marca de dois bilhões de certificados gerados. A marca de um bilhão foi alcançada em fevereiro do ano passado. Todos os dias, 2,2-2,4 milhões de novos certificados são gerados. O número de certificados ativos é 192 milhões (o certificado é válido por três meses) e cobre cerca de 260 milhões de domínios (há um ano cobria 195 milhões de domínios, há dois anos - 150 milhões, há três anos - 60 milhões).
De acordo com estatísticas do serviço Firefox Telemetry, a participação global de solicitações de páginas por HTTPS é de 82% (um ano atrás - 81%, dois anos atrás - 77%, três anos atrás - 69%, quatro anos atrás - 58%).
fonte: https://scotthelme.co.uk/