Это устройства, которые перестали иметь доступ к Интернету из-за сертификата Let's Encrypt.

Сегодня, 30 сентября, Срок действия корневого сертификата IdenTrust истек и что этот сертификат был использован для подписания сертификата Let's Encrypt (ISRG Root X1), контролируются сообществом и бесплатно предоставляют сертификаты всем.

Фирма обеспечила доверие сертификатов Let's Encrypt на широком спектре устройств, операционных систем и браузеров, интегрировав собственный корневой сертификат Let's Encrypt в хранилища корневых сертификатов.

Первоначально планировалось, что после того, как DST Root CA X3 устареет, проект Let's Encrypt он переключится на генерацию подписей с использованием только вашего сертификата, но такой шаг приведет к потере совместимости со многими старыми системами, которых не было. В частности, около 30% используемых Android-устройств не имеют данных о корневом сертификате Let's Encrypt, поддержка которого появилась только на платформе Android 7.1.1, выпущенной в конце 2016 года.

Let's Encrypt не планировал заключать новое соглашение о перекрестной подписи, поскольку это налагает дополнительную ответственность на стороны соглашения, лишает их независимости и связывает им руки при соблюдении всех процедур и правил другого органа сертификации.

Но из-за возможных проблем на большом количестве Android-устройств план был пересмотрен. Было подписано новое соглашение с центром сертификации IdenTrust, в соответствии с которым был создан альтернативный промежуточный сертификат Let's Encrypt с перекрестной подписью. Перекрестная подпись будет действительна в течение трех лет и будет по-прежнему совместима с устройствами Android, начиная с версии 2.3.6.

Тем не менее, новый промежуточный сертификат не распространяется на многие другие устаревшие системы. Например, после истечения срока действия сертификата DST Root CA X3 (сегодня 30 сентября) сертификаты Let's Encrypt больше не будут приниматься в неподдерживаемых прошивках и операционных системах, в которых для обеспечения доверия к сертификатам Let's Encrypt вам нужно будет вручную добавить Корень ISRG. Сертификат X1 в корневое хранилище сертификатов. Проблемы проявятся в:

OpenSSL до ветки 1.0.2 включительно (поддержка ветки 1.0.2 была прекращена в декабре 2019 года);

  • NSS <3,26
  • Java 8 <8u141, Java 7 <7u151
  • Окна
  • macOS <10.12.1
  • iOS <10 (iPhone <5)
  • Android <2.3.6
  • Mozilla Firefox <50
  • Ubuntu <16.04
  • Debian <8

В случае OpenSSL 1.0.2, проблема вызвана ошибкой, которая препятствует правильной обработке сертификатов перекрестная подпись, если срок действия одного из корневых сертификатов, участвующих в подписи, истекает, хотя другие действительные цепочки доверия сохраняются.

Проблема впервые появился в прошлом году после истечения срока действия сертификата AddTrust используется для перекрестной подписи сертификатов центра сертификации Sectigo (Comodo). Суть проблемы заключается в том, что OpenSSL анализирует сертификат как линейную цепочку, тогда как согласно RFC 4158 сертификат может представлять собой направленную распределенную круговую диаграмму с различными якорями доверия, которые необходимо учитывать.

Пользователям старых дистрибутивов на основе OpenSSL 1.0.2 предлагается три решения проблемы:

  • Вручную удалите корневой сертификат IdenTrust DST Root CA X3 и установите автономный корневой сертификат ISRG Root X1 (без перекрестной подписи).
  • Укажите параметр «–trusted_first» при запуске команд openssl verify и s_client.
  • Используйте сертификат на сервере, который сертифицирован автономным корневым сертификатом SRG Root X1 без перекрестной подписи (Let's Encrypt предлагает возможность запросить такой сертификат). Этот метод приведет к потере совместимости со старыми клиентами Android.

Кроме того, проект Let's Encrypt преодолел рубеж в два миллиарда сгенерированных сертификатов. График в миллиард был достигнут в феврале прошлого года. Ежедневно генерируется 2,2–2,4 миллиона новых сертификатов. Количество активных сертификатов составляет 192 миллиона (срок действия сертификата - три месяца) и охватывает около 260 миллионов доменов (год назад охватил 195 миллионов доменов, два года назад - 150 миллионов, три года назад - 60 миллионов).

Согласно статистике сервиса Firefox Telemetry, глобальная доля запросов страниц по HTTPS составляет 82% (год назад - 81%, два года назад - 77%, три года назад - 69%, четыре года назад - 58%).

источник: https://scotthelme.co.uk/


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

bool (истина)