Bugün, 30 Eylül, IdenTrust kök sertifikasının kullanım ömrü doldu ve bu sertifika mı Let's Encrypt sertifikasını (ISRG Root X1) imzalamak için kullanıldı, topluluk tarafından kontrol edilir ve herkese ücretsiz sertifikalar sağlar.
Firma, Let's Encrypt'in kendi kök sertifikasını kök sertifika depolarına entegre ederken geniş bir cihaz, işletim sistemi ve tarayıcı yelpazesinde Let's Encrypt sertifikalarının güvenini sağlamıştır.
Başlangıçta, DST Root CA X3'ün güncelliğini yitirdikten sonra, Let's Encrypt projesi yalnızca sertifikanızı kullanarak imza oluşturmaya geçecektir, ancak böyle bir adım uyumluluk kaybına yol açacaktır. olmayan birçok eski sistemle. Özellikle, kullanımdaki Android cihazların yaklaşık %30'unda desteği yalnızca 7.1.1 sonunda yayınlanan Android 2016 platformundan itibaren ortaya çıkan Let's Encrypt kök sertifikasına ilişkin veri bulunmamaktadır.
Let's Encrypt yeni bir çapraz imza anlaşması yapmayı planlamamıştı, çünkü bu anlaşmanın taraflarına ek sorumluluklar yükledi, onları bağımsızlıktan mahrum etti ve başka bir sertifikasyon kuruluşunun tüm prosedür ve kurallarına uyma konusunda ellerini bağladı.
Ancak çok sayıda Android cihazdaki olası sorunlar nedeniyle plan revize edildi. Sertifika yetkilisi IdenTrust ile alternatif bir Let's Encrypt ara çapraz imzalı sertifikanın oluşturulduğu yeni bir anlaşma imzalandı. Çapraz imza üç yıl geçerli olacak ve 2.3.6 sürümünden itibaren Android cihazlarla uyumlu olmaya devam edecek.
Sin ambargo, yeni ara sertifika, diğer birçok eski sistemi kapsamaz. Örneğin, DST Root CA X3 sertifikasının süresi dolduktan sonra (bugün 30 Eylül), Let's Encrypt sertifikaları artık desteklenmeyen bellenim ve işletim sistemlerinde kabul edilmeyecek ve Let's Encrypt sertifikalarına güveni sağlamak için ISRG kökü. Kök sertifika deposuna X1 sertifikası. Sorunlar kendilerini şu şekilde gösterecektir:
OpenSSL, 1.0.2 şubesine kadar ve dahil (şube 1.0.2'nin bakımı Aralık 2019'da durdurulmuştur);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- pencereler
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
OpenSSL 1.0.2 durumunda, sorun, sertifikaların doğru şekilde işlenmesini engelleyen bir hatadan kaynaklanıyor diğer geçerli güven zincirleri korunmuş olmasına rağmen, imzalamaya dahil olan kök sertifikalardan birinin süresi dolarsa çapraz imzalanır.
sorun ilk olarak geçen yıl AddTrust sertifikasının süresinin dolmasından sonra ortaya çıktı Sectigo (Comodo) sertifika yetkilisinin sertifikalarında çapraz imza için kullanılır. Sorunun özü, OpenSSL'nin sertifikayı doğrusal bir zincir olarak ayrıştırmasıdır, oysa RFC 4158'e göre sertifika, dikkate alınması gereken çeşitli güven bağlantılarıyla yönlendirilmiş dağıtılmış bir pasta grafiği temsil edebilir.
OpenSSL 1.0.2'ye dayalı eski dağıtımların kullanıcılarına, sorunu çözmek için üç çözüm sunulur:
- IdenTrust DST Kök CA X3 kök sertifikasını manuel olarak kaldırın ve bağımsız ISRG Kök X1 kök sertifikasını yükleyin (çapraz imza yok).
- Openssl doğrulama ve s_client komutlarını çalıştırırken "–trusted_first" seçeneğini belirtin.
- Sunucuda çapraz imzalı olmayan bağımsız bir SRG Kök X1 kök sertifikası tarafından onaylanmış bir sertifika kullanın (Let's Encrypt böyle bir sertifika talep etme seçeneği sunar). Bu yöntem, eski Android istemcileriyle uyumluluk kaybına yol açacaktır.
Ayrıca Let's Encrypt projesi, oluşturulan iki milyar sertifikanın kilometre taşını geçmiştir. Geçen yılın Şubat ayında bir milyar dönüm noktasına ulaşıldı. Her gün 2,2-2,4 milyon yeni sertifika üretiliyor. Aktif sertifika sayısı 192 milyondur (sertifika üç ay geçerlidir) ve yaklaşık 260 milyon alanı kapsar (bir yıl önce 195 milyon alanı kapsıyordu, iki yıl önce - 150 milyon, üç yıl önce - 60 milyon).
Firefox Telemetri hizmetinden alınan istatistiklere göre, HTTPS üzerinden yapılan sayfa isteklerinin küresel payı %82'dir (bir yıl önce - %81, iki yıl önce - %77, üç yıl önce - %69, dört yıl önce - %58).
kaynak: https://scotthelme.co.uk/