Sot, më 30 shtator, Jeta e certifikatës rrënjësore të IdenTrust ka skaduar dhe a është kjo certifikatë u përdor për të nënshkruar certifikatën Let's Encrypt (ISRG Root X1), të kontrolluara nga komuniteti dhe ofrojnë certifikata falas për të gjithë.
Firma siguroi besimin e certifikatave Let's Encrypt në një gamë të gjerë të pajisjeve, sistemeve operative dhe shfletuesve duke integruar certifikatën rrënjësore të Let's Encrypt në dyqanet e certifikatave rrënjësore.
Fillimisht ishte planifikuar që pasi DST Root CA X3 të jetë e vjetëruar, projekti Le të Kriptojmë do të kalojë në gjenerimin e nënshkrimeve duke përdorur vetëm certifikatën tuaj, por një hap i tillë do të çonte në humbjen e përputhshmërisë me shumë sisteme të vjetra që nuk e bënin. Në veçanti, rreth 30% e pajisjeve Android në përdorim nuk kanë të dhëna mbi certifikatën rrënjësore Let's Encrypt, mbështetja e së cilës u shfaq vetëm në platformën Android 7.1.1, të lëshuar në fund të vitit 2016.
Let's Encrypt nuk planifikoi të hyjë në një marrëveshje të re të nënshkrimit, pasi kjo imponon përgjegjësi shtesë për palët në marrëveshje, ua heq atyre pavarësinë dhe i lidh duart në përputhje me të gjitha procedurat dhe rregullat e një autoriteti tjetër të certifikimit Me
Por për shkak të problemeve të mundshme në një numër të madh të pajisjeve Android, plani u rishikua. Një marrëveshje e re u nënshkrua me autoritetin e certifikimit IdenTrust, sipas së cilës u krijua një certifikatë alternative Le të Kriptojmë ndërmjetës të nënshkruar të kryqëzuar. Nënshkrimi kryq do të jetë i vlefshëm për tre vjet dhe do të vazhdojë të jetë i pajtueshëm me pajisjet Android nga versioni 2.3.6.
Megjithatë, certifikata e re e ndërmjetme nuk mbulon shumë sisteme të tjera të trashëguara. Për shembull, pasi skadon certifikata DST Root CA X3 (sot 30 shtator), certifikatat Let's Encrypt nuk do të pranohen më në firmware dhe sisteme operative të pambështetura, në të cilat, për të siguruar besimin në certifikatat Let's Encrypt, do t'ju duhet të shtoni manualisht Rrënja ISRG. Certifikata X1 në ruajtjen e certifikatave rrënjësore. Problemet do të shfaqen në:
OpenSSL deri dhe duke përfshirë degën 1.0.2 (mirëmbajtja e degës 1.0.2 u ndërpre në dhjetor 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Në rastin e OpenSSL 1.0.2, problemi shkaktohet nga një gabim që parandalon trajtimin e saktë të certifikatave i nënshkruar nëse një nga certifikatat rrënjësore të përfshira në nënshkrim skadon, megjithëse zinxhirët e tjerë të vlefshëm të besimit ruhen.
Problemi u shfaq për herë të parë vitin e kaluar pas skadimit të certifikatës AddTrust përdoret për nënshkrimin e kryqëzuar në certifikatat e autoritetit të certifikatës Sectigo (Comodo). Thelbi i problemit është se OpenSSL e analizoi certifikatën si një zinxhir linear, ndërsa sipas RFC 4158, çertifikata mund të përfaqësojë një tabelë byrek të shpërndarë të drejtuar me spiranca të ndryshme besimi që duhet të merren parasysh.
Përdoruesve të shpërndarjeve më të vjetra të bazuara në OpenSSL 1.0.2 u ofrohen tre zgjidhje për të zgjidhur problemin:
- Hiqni manualisht certifikatën rrënjësore të IdenTrust DST Root CA X3 dhe instaloni certifikatën e pavarur rrënjësore ISRG Root X1 (pa nënshkrim kryq).
- Specifikoni opsionin "–trusted_first" kur ekzekutoni komandat e verifikimit të openssl dhe s_client.
- Përdorni një certifikatë në server të certifikuar nga një certifikatë e pavarur rrënjë SRG Root X1 që nuk është e nënshkruar (Let's Encrypt ofron një mundësi për të kërkuar një certifikatë të tillë). Kjo metodë do të çojë në humbjen e pajtueshmërisë me klientët e vjetër Android.
Për më tepër, projekti Let's Encrypt ka kaluar piketën e dy miliardë certifikatave të krijuara. Pika historike prej një miliard u arrit në shkurt të vitit të kaluar. Çdo ditë gjenerohen 2,2-2,4 milion certifikata të reja. Numri i certifikatave aktive është 192 milion (certifikata është e vlefshme për tre muaj) dhe mbulon rreth 260 milion fusha (një vit më parë ajo mbulonte 195 milion domene, dy vjet më parë - 150 milion, tre vjet më parë - 60 milion).
Sipas statistikave nga shërbimi Telemetry Firefox, pjesa globale e kërkesave të faqeve mbi HTTPS është 82%(një vit më parë - 81%, dy vjet më parë - 77%, tre vjet më parë - 69%, katër vjet më parë - 58%).
Fuente: https://scotthelme.co.uk/