Danes, 30. septembra, Življenjska doba korenskega potrdila IdenTrust je potekla in ali je to potrdilo je bil uporabljen za podpis certifikata Let's Encrypt (ISRG Root X1), ki jih nadzira skupnost in vsem brezplačno izdajajo potrdila.
Podjetje je zagotovilo zaupanje certifikatov Let's Encrypt v široko paleto naprav, operacijskih sistemov in brskalnikov, medtem ko je lastno korensko potrdilo Let's Encrypt vključilo v skladišča korenskih potrdil.
Prvotno je bilo načrtovano, da bo po tem, ko je DST Root CA X3 zastarel, projekt Let's Encrypt preklopil bo na ustvarjanje podpisov samo z vašim potrdilom, vendar bi tak korak privedel do izgube združljivosti z veliko starimi sistemi, ki niso. Zlasti približno 30% uporabljenih naprav Android nima podatkov o korenskem potrdilu Let's Encrypt, katerega podpora se je pojavila šele pri platformi Android 7.1.1, ki je izšla konec leta 2016.
Let's Encrypt ni nameraval skleniti nove pogodbe o podpisu, saj to nalaga dodatne pogodbene strani pogodbenicam, jim odvzame neodvisnost in jim poveže roke pri spoštovanju vseh postopkov in pravil drugega organa za potrjevanje .
Toda zaradi možnih težav pri velikem številu naprav Android je bil načrt revidiran. S certifikacijskim organom IdenTrust je bil podpisan nov sporazum, na podlagi katerega je bilo ustvarjeno alternativno vmesno navzkrižno podpisano potrdilo Let's Encrypt. Navzkrižni podpis bo veljal tri leta in bo še naprej združljiv z napravami Android od različice 2.3.6.
Vendar pa novo vmesno potrdilo ne zajema veliko drugih podedovanih sistemov. Na primer, po poteku certifikata DST Root CA X3 (danes 30. septembra) potrdila Let's Encrypt ne bodo več sprejeta v nepodprti vdelani programski opremi in operacijskih sistemih, v katere boste morali za zagotovitev zaupanja v potrdila Let's Encrypt ročno dodati ISRG koren. Potrdilo X1 v skladišče korenskih potrdil. Težave se bodo pokazale v:
OpenSSL do podružnice 1.0.2 (vključno z vzdrževanjem podružnice 1.0.2 je bilo decembra 2019 prekinjeno);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
V primeru OpenSSL 1.0.2, težavo povzroča napaka, ki preprečuje pravilno ravnanje s potrdili navzkrižno podpisano, če eno od korenskih potrdil, vključenih v podpis, poteče, čeprav se ohranijo druge veljavne verige zaupanja.
Problem se je prvič pojavil lani po izteku certifikata AddTrust uporablja se za navzkrižno podpisovanje potrdil certifikacijskega organa Sectigo (Comodo). Srce problema je, da je OpenSSL razčlenil certifikat kot linearno verigo, medtem ko lahko v skladu z RFC 4158 potrdilo predstavlja usmerjen porazdeljen tortni grafikon z različnimi sidri zaupanja, ki jih je treba upoštevati.
Uporabnikom starejših distribucij, ki temeljijo na OpenSSL 1.0.2, so na voljo tri rešitve za rešitev problema:
- Ročno odstranite korensko potrdilo IdenTrust DST Root CA X3 in namestite samostojno korensko potrdilo ISRG Root X1 (brez navzkrižnega podpisovanja).
- Pri izvajanju ukazov za preverjanje openssl in s_client podajte možnost "–trusted_first".
- Na strežniku uporabite potrdilo, ki je potrjeno s samostojnim korenskim potrdilom SRG Root X1, ki ni navzkrižno podpisano (Let's Encrypt ponuja možnost, da zahtevate takšno potrdilo). Ta metoda bo privedla do izgube združljivosti s starimi odjemalci Android.
Poleg tega je projekt Let's Encrypt presegel mejnik dveh milijard ustvarjenih certifikatov. Mejard milijarde je bil dosežen februarja lani. Vsak dan se ustvari 2,2-2,4 milijona novih certifikatov. Število aktivnih potrdil je 192 milijonov (potrdilo velja tri mesece) in zajema okoli 260 milijonov domen (pred letom dni je pokrivalo 195 milijonov domen, pred dvema letoma - 150 milijonov, pred tremi leti - 60 milijonov).
Po statističnih podatkih storitve Firefox Telemetry je svetovni delež zahtev po straneh prek HTTPS 82%(pred enim letom - 81%, pred dvema letoma - 77%, pred tremi leti - 69%, pred štirimi leti - 58%).
vir: https://scotthelme.co.uk/