Astăzi, 30 septembrie Durata de viață a certificatului rădăcină IdenTrust a expirat și este că acest certificat a fost folosit pentru a semna certificatul Let's Encrypt (ISRG Root X1), controlat de comunitate și oferă certificate gratuit tuturor.
Firma a asigurat încrederea certificatelor Let's Encrypt pe o gamă largă de dispozitive, sisteme de operare și browsere, integrând în același timp propriul certificat root al Let's Encrypt în magazinele de certificate root.
S-a planificat inițial ca după DST Root CA X3 să nu mai fie actualizat, proiectul Let's Encrypt va trece la generarea de semnături folosind doar certificatul dvs., dar un astfel de pas ar duce la pierderea compatibilității cu o mulțime de sisteme vechi care nu. În special, aproximativ 30% din dispozitivele Android utilizate nu au date pe certificatul rădăcină Let's Encrypt, al cărui suport a apărut doar începând cu platforma Android 7.1.1, lansat la sfârșitul anului 2016.
Let's Encrypt nu intenționa să încheie un nou acord de semnături încrucișate, deoarece acest lucru impune părților la acord o responsabilitate suplimentară, le privește de independență și își leagă mâinile în respectarea tuturor procedurilor și regulilor unei alte autorități de certificare.
Dar, din cauza potențialelor probleme pe un număr mare de dispozitive Android, planul a fost revizuit. A fost semnat un nou acord cu autoritatea de certificare IdenTrust, conform căreia a fost creat un certificat intermediar alternativ Let's Encrypt. Semnătura încrucișată va fi valabilă timp de trei ani și va continua să fie compatibilă cu dispozitivele Android de la versiunea 2.3.6.
Sin embargo, noul certificat intermediar nu acoperă multe alte sisteme vechi. De exemplu, după expirarea certificatului DST Root CA X3 (astăzi 30 septembrie), certificatele Let's Encrypt nu vor mai fi acceptate pe firmware-ul și sistemele de operare neacceptate, în care, pentru a vă asigura încrederea în Let's Encrypt certificate, va trebui să adăugați manual Rădăcină ISRG. Certificat X1 la depozit certificat rădăcină. Problemele se vor manifesta prin:
OpenSSL până la sucursala 1.0.2 inclusiv (întreținerea sucursalei 1.0.2 a fost întreruptă în decembrie 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
În cazul OpenSSL 1.0.2, problema este cauzată de o eroare care împiedică manipularea corectă a certificatelor semnat încrucișat dacă unul dintre certificatele rădăcină implicate în semnare expiră, deși se păstrează alte lanțuri valide de încredere.
Problema prima dată a apărut anul trecut după expirarea certificatului AddTrust utilizat pentru semnarea încrucișată a certificatelor autorității de certificare Sectigo (Comodo). Inima problemei este că OpenSSL a analizat certificatul ca pe un lanț liniar, în timp ce conform RFC 4158, certificatul poate reprezenta o diagramă circulară distribuită direcționată cu diverse ancore de încredere care trebuie luate în considerare.
Utilizatorilor de distribuții mai vechi bazate pe OpenSSL 1.0.2 li se oferă trei soluții pentru a rezolva problema:
- Eliminați manual certificatul rădăcină IdenTrust DST Root CA X3 și instalați certificatul rădăcină ISRG Root X1 independent (fără semnare încrucișată).
- Specificați opțiunea „–trusted_first” când rulați comenzile openssl verify și s_client.
- Utilizați un certificat pe server care este certificat de un certificat rădăcină SRG Root X1 independent care nu este semnat încrucișat (Let's Encrypt oferă o opțiune pentru a solicita un astfel de certificat). Această metodă va duce la pierderea compatibilității cu vechii clienți Android.
În plus, proiectul Let's Encrypt a depășit jalonul a două miliarde de certificate generate. Cel mai important miliard a fost atins în februarie anul trecut. În fiecare zi sunt generate 2,2-2,4 milioane de certificate noi. Numărul certificatelor active este de 192 de milioane (certificatul este valabil trei luni) și acoperă aproximativ 260 de milioane de domenii (acum un an acoperea 195 de milioane de domenii, acum doi ani - 150 de milioane, acum trei ani - 60 de milioane).
Conform statisticilor serviciului Firefox Telemetry, ponderea globală a cererilor de pagini de peste HTTPS este de 82% (acum un an - 81%, acum doi ani - 77%, acum trei ani - 69%, acum patru ani - 58%).
Fuente: https://scotthelme.co.uk/