Данас, 30. септембра, ИденТруст роот сертификат је истекао и да ли је то овај сертификат коришћен је за потписивање цертификата Лет'с Енцрипт (ИСРГ Роот Кс1), које контролише заједница и свима бесплатно дају сертификате.
Фирма је обезбедила поверење Лет'с Енцрипт сертификата на широком спектру уређаја, оперативних система и прегледача, док је интегрисала Лет'с Енцрипт сопствени роот сертификат у складишта роот сертификата.
Првобитно је било планирано да након што ДСТ Роот ЦА Кс3 застари, пројекат Лет'с Енцрипт прећи ће на генерисање потписа користећи само ваш сертификат, али би такав корак довео до губитка компатибилности са пуно старих система који нису. Конкретно, око 30% Андроид уређаја у употреби нема податке о роот шифрирању Лет'с Енцрипт, чија се подршка појавила тек од платформе Андроид 7.1.1, објављене крајем 2016. године.
Лет'с Енцрипт није планирао склапање новог споразума о унакрсном потписивању, јер то странкама споразума намеће додатну одговорност, лишава их независности и везује им руке у складу са свим процедурама и правилима другог ауторитета за сертификацију.
Али због потенцијалних проблема на великом броју Андроид уређаја, план је ревидиран. Потписан је нови уговор са ИденТруст цертификацијским тијелом, према којем је креиран алтернативни Лет'с Енцрипт посредни унакрсни цертификат. Укрштени потпис ће важити три године и наставиће да буде компатибилан са Андроид уређајима од верзије 2.3.6.
Међутим, нови посредни сертификат не покрива многе друге наслеђене системе. На пример, након истека ДСТ Роот ЦА Кс3 сертификата (данас 30. септембра), Лет'с Енцрипт сертификати више неће бити прихваћени на неподржаном фирмверу и оперативним системима, у којима ћете, да бисте осигурали поверење у Лет'с Енцрипт сертификате, морати ручно да додате ИСРГ корен. Кс1 сертификат у складиште роот сертификата. Проблеми ће се манифестовати у:
ОпенССЛ до гране 1.0.2 укључујући (одржавање огранка 1.0.2 је прекинуто у децембру 2019);
- НСС <3,26
- Јава 8 <8у141, Јава 7 <7у151
- Виндовс
- мацОС <10.12.1
- иОС <10 (иПхоне <5)
- Андроид <2.3.6
- Мозилла Фирефок <50
- Убунту <16.04
- Дебиан <8
У случају ОпенССЛ 1.0.2, проблем настаје због грешке која спречава правилно руковање сертификатима укрштено ако један од основних сертификата укључених у потписивање истекне, иако су остали важећи ланци поверења сачувани.
Проблем први пут се појавио прошле године по истеку АддТруст сертификата користи се за унакрсно потписивање сертификата Сецтиго (Цомодо) сертификационог тела. Срце проблема је што је ОпенССЛ рашчланио сертификат као линеарни ланац, док према РФЦ 4158, сертификат може представљати усмерени дистрибуирани тортни графикон са различитим сидрима поверења које треба узети у обзир.
Корисницима старијих дистрибуција заснованих на ОпенССЛ 1.0.2 понуђена су три решења за решавање проблема:
- Ручно уклоните ИденТруст ДСТ Роот ЦА Кс3 роот сертификат и инсталирајте самостални ИСРГ Роот Кс1 роот сертификат (без унакрсног потписивања).
- Наведите опцију "–трустед_фирст" приликом извођења наредби опенссл верифи и с_цлиент.
- Користите сертификат на серверу који је сертификован самосталним СРГ Роот Кс1 коренским сертификатом који није унакрсно потписан (Лет'с Енцрипт нуди могућност да се затражи такав сертификат). Ова метода ће довести до губитка компатибилности са старим Андроид клијентима.
Осим тога, пројекат Лет'с Енцрипт прешао је прекретницу од две милијарде генерисаних сертификата. Прекретница од милијарду достигнута је у фебруару прошле године. Свакодневно се генерише 2,2-2,4 милиона нових сертификата. Број активних сертификата је 192 милиона (сертификат важи три месеца) и покрива око 260 милиона домена (пре годину дана покривао је 195 милиона домена, пре две године - 150 милиона, пре три године - 60 милиона).
Према статистикама Фирефок Телеметри сервиса, глобални удео захтева страница преко ХТТПС -а је 82%(пре годину дана - 81%, пре две године - 77%, пре три године - 69%, пре четири године - 58%).
izvor: https://scotthelme.co.uk/