Ngayon, Setyembre 30, Nag-expire ang habang-buhay na sertipiko ng root ng IdenTrust at ito ba ang sertipiko na ito ginamit upang lagdaan ang sertipiko ng Let's Encrypt (ISRG Root X1), kinokontrol ng pamayanan at nagbibigay ng mga sertipiko nang libre sa lahat.
Tiniyak ng firm ang pagtitiwala ng mga sertipiko ng Let's Encrypt sa isang malawak na hanay ng mga aparato, operating system at browser habang isinasama ang sariling root certificate ng Let's Encrypt sa mga root certificate store.
Orihinal na pinlano na pagkatapos ng DST Root CA X3 ay wala nang petsa, ang proyekto na Let's Encrypt lilipat ito sa pagbuo ng mga lagda gamit lamang ang iyong sertipiko, ngunit ang gayong hakbang ay hahantong sa pagkawala ng pagiging tugma na may maraming mga lumang system na hindi. Sa partikular, sa paligid ng 30% ng mga Android device na ginagamit ay walang data sa sertipiko ng ugat na Encrypt, na ang suporta ay lumitaw lamang tulad ng platform ng Android 7.1.1, na inilabas sa pagtatapos ng 2016.
Ang Encrypt ng Encrypt ay hindi nagplano na pumasok sa isang bagong kasunduang cross-signature, dahil nagpapataw ito ng karagdagang responsibilidad sa mga partido sa kasunduan, naalis sa kanila ng kalayaan, at tinali ang kanilang mga kamay sa pagsunod sa lahat ng mga pamamaraan at alituntunin ng isa pang awtoridad ng sertipikasyon.
Ngunit dahil sa mga potensyal na problema sa isang malaking bilang ng mga Android device, nabago ang plano. Ang isang bagong kasunduan ay nilagdaan kasama ng awtoridad ng sertipiko ng IdenTrust, kung saan nilikha ang isang kahaliling Let's Encrypt intermediate cross-sign na sertipiko. Ang cross signature ay magiging wasto sa loob ng tatlong taon at magpapatuloy na maging tugma sa mga Android device mula sa bersyon 2.3.6.
Gayunpaman, ang bagong intermediate na sertipiko ay hindi sumasakop sa maraming iba pang mga sistemang pamana. Halimbawa Ugat ng ISRG. X3 na sertipiko sa pag-root ng sertipiko ng tindahan. Ang mga problema ay magpapakita ng kanilang mga sarili sa:
Ang OpenSSL hanggang at kabilang ang sangay 1.0.2 (ang pagpapanatili ng sangay ng 1.0.2 ay hindi na ipinagpatuloy noong Disyembre 2019);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Sa kaso ng OpenSSL 1.0.2, ang problema ay sanhi ng isang error na pumipigil sa tamang paghawak ng mga sertipiko naka-cross sign kung ang isa sa mga ugat na sertipiko na kasangkot sa pag-sign ay mag-expire, kahit na ang iba pang mga wastong kadena ng pagtitiwala ay napanatili.
Ang problema unang lumitaw noong nakaraang taon matapos ang pag-expire ng AddTrust certificate ginamit para sa pag-cross-sign sa mga sertipiko ng awtoridad ng sertipiko ng Sectigo (Comodo). Ang puso ng problema ay na-parse ng OpenSSL ang sertipiko bilang isang linear chain, samantalang ayon sa RFC 4158, ang sertipiko ay maaaring kumatawan sa isang nakadirekta na pie chart na may iba't ibang mga trust anchor na kailangang isaalang-alang.
Ang mga gumagamit ng mas matandang pamamahagi batay sa OpenSSL 1.0.2 ay inaalok ng tatlong mga solusyon upang malutas ang problema:
- Mano-manong alisin ang IdenTrust DST Root CA X3 root certificate at i-install ang standalone na ISRG Root X1 root certificate (walang pag-sign sign).
- Tukuyin ang pagpipiliang "–tiwala_first" kapag pinapatakbo ang pag-verify ng openssl at s_client na mga utos.
- Gumamit ng isang sertipiko sa server na sertipikado ng isang standalone na SRG Root X1 root certificate na hindi naka-cross-sign (Nag-aalok ang Encrypt ng Encrypt ng isang pagpipilian upang humiling ng naturang sertipiko). Ang pamamaraang ito ay hahantong sa pagkawala ng pagiging tugma sa mga lumang Android client.
Bilang karagdagan, ang proyekto ng Let's Encrypt ay naipasa ang milyahe ng dalawang bilyong sertipiko na nabuo. Ang isang bilyong milyahe ay naabot noong Pebrero ng nakaraang taon. Araw-araw 2,2-2,4 milyong mga bagong sertipiko ang nabuo. Ang bilang ng mga aktibong sertipiko ay 192 milyon (ang sertipiko ay may bisa sa loob ng tatlong buwan) at sumasakop sa paligid ng 260 milyong mga domain (isang taon na ang nakakaraan ay sumakop ito ng 195 milyong mga domain, dalawang taon na ang nakalilipas - 150 milyon, tatlong taon na ang nakalilipas - 60 milyon).
Ayon sa istatistika mula sa serbisyo ng Firefox Telemetry, ang pandaigdigang pagbabahagi ng mga kahilingan sa pahina sa HTTPS ay 82% (isang taon na ang nakakaraan - 81%, dalawang taon na ang nakalilipas - 77%, tatlong taon na ang nakalilipas - 69%, apat na taon na ang nakalilipas - 58%).
Fuente: https://scotthelme.co.uk/