Dnes, 30. septembra Platnosť koreňového certifikátu IdenTrust vypršala a je to tento certifikát bol použitý na podpísanie certifikátu Let's Encrypt (ISRG Root X1), kontrolované komunitou a bezplatne poskytovať certifikáty pre všetkých.
Firma zaistila dôveru certifikátov Let's Encrypt na celom rade zariadení, operačných systémov a prehliadačov a integrovala vlastný koreňový certifikát Let's Encrypt do úložísk koreňových certifikátov.
Pôvodne sa plánovalo, že potom, čo DST Root CA X3 bude zastaraný, projekt Šifrujme prejde na generovanie podpisov iba pomocou vášho certifikátu, ale takýto krok by viedol k strate kompatibility s mnohými starými systémami, ktoré to neurobili. Konkrétne, asi 30% používaných zariadení Android nemá údaje o koreňovom certifikáte Let's Encrypt, ktorého podpora sa objavila iba na platforme Android 7.1.1, vydanej na konci roku 2016.
Let's Encrypt neplánoval uzavrieť novú zmluvu o vzájomnom podpise, pretože to ukladá stranám dohody dodatočnú zodpovednosť, zbavuje ich nezávislosti a zväzuje ich ruky pri dodržiavaní všetkých postupov a pravidiel iného orgánu certifikácie .
Ale kvôli potenciálnym problémom na veľkom počte zariadení s Androidom bol plán revidovaný. S certifikačnou autoritou IdenTrust bola podpísaná nová dohoda, v rámci ktorej bol vytvorený alternatívny medziprísažný certifikát Let's Encrypt meziprodukt. Krížový podpis bude platný tri roky a od verzie 2.3.6 bude naďalej kompatibilný so zariadeniami Android.
Avšak, nový prechodný certifikát nepokrýva mnoho ďalších starších systémov. Napríklad po vypršaní platnosti certifikátu DST Root CA X3 (dnes 30. septembra) už nebudú certifikáty Let's Encrypt akceptované v nepodporovanom firmvéri a operačných systémoch, v ktorých na zaistenie dôvery v certifikáty Let's Encrypt budete musieť ručne pridať Koreň ISRG. Certifikát X1 do úložiska certifikátov root. Problémy sa prejavia v:
OpenSSL až do vetvy 1.0.2 vrátane (údržba pobočky 1.0.2 bola ukončená v decembri 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
V prípade OpenSSL 1.0.2, problém je spôsobený chybou, ktorá bráni správnemu spracovaniu certifikátov cross-signed, ak vyprší platnosť jedného z koreňových certifikátov zapojených do podpisovania, aj keď sú zachované ostatné platné reťazce dôvery.
Problém sa prvýkrát objavili minulý rok po skončení platnosti certifikátu AddTrust používa sa na krížové podpisovanie certifikátov certifikačnej autority Sectigo (Comodo). Jadrom problému je, že OpenSSL analyzoval certifikát ako lineárny reťazec, zatiaľ čo podľa RFC 4158 môže certifikát predstavovať riadený distribuovaný koláčový graf s rôznymi kotvami dôvery, ktoré je potrebné vziať do úvahy.
Používateľom starších distribúcií založených na OpenSSL 1.0.2 sa ponúkajú tri riešenia problému:
- Ručne odstráňte koreňový certifikát IdenTrust DST Root CA X3 a nainštalujte samostatný koreňový certifikát ISRG Root X1 (bez krížového podpisovania).
- Pri spustení príkazov openssl verify a s_client zadajte voľbu „–trusted_first“.
- Na serveri použite certifikát, ktorý je certifikovaný samostatným koreňovým certifikátom SRG Root X1, ktorý nie je krížovo podpísaný (Let's Encrypt ponúka možnosť požiadať o takýto certifikát). Táto metóda povedie k strate kompatibility so starými klientmi systému Android.
Projekt Let's Encrypt navyše prešiel míľnikom dvoch miliárd vygenerovaných certifikátov. Miliardový míľnik bol dosiahnutý vo februári minulého roka. Každý deň sa vygeneruje 2,2-2,4 milióna nových certifikátov. Počet aktívnych certifikátov je 192 miliónov (certifikát je platný tri mesiace) a pokrýva približne 260 miliónov domén (pred rokom pokrýval 195 miliónov domén, pred dvoma rokmi - 150 miliónov, pred tromi rokmi - 60 miliónov).
Podľa štatistík služby Firefox Telemetry je globálny podiel požiadaviek na stránky cez HTTPS 82%(pred rokom - 81%, pred dvoma rokmi - 77%, pred tromi rokmi - 69%, pred štyrmi rokmi - 58%).
Fuente: https://scotthelme.co.uk/