Сьогодні, 30 вересня, Термін дії кореневого сертифіката IdenTrust закінчився і чи це цей сертифікат був використаний для підписання сертифіката Let's Encrypt (ISRG Root X1), контрольовані спільнотою і безкоштовно надають сертифікати всім.
Фірма гарантувала довіру Let's Encrypt сертифікатів на широкому спектрі пристроїв, операційних систем та браузерів, інтегрувавши власний кореневий сертифікат Let's Encrypt у сховища кореневих сертифікатів.
Спочатку планувалося, що після того, як DST Root CA X3 застаріє, проект Давайте шифруємо він перейде до створення підписів, використовуючи лише ваш сертифікат, але такий крок призведе до втрати сумісності з великою кількістю старих систем, які цього не робили. Зокрема, близько 30% використовуваних пристроїв Android не мають даних про кореневий сертифікат Let's Encrypt, підтримка якого з’явилася лише на платформі Android 7.1.1, що вийшла в кінці 2016 року.
Let's Encrypt не планувала укладати нову угоду про перехресний підпис, оскільки це покладає на сторони угоди додаткову відповідальність, позбавляє їх незалежності та зв'язує руки у дотриманні всіх процедур та правил іншого органу з сертифікації.
Але через потенційні проблеми на великій кількості пристроїв Android план переглянули. Було підписано нову угоду з центром сертифікації IdenTrust, згідно з якою було створено альтернативний проміжний сертифікат з перехресним підписом Let's Encrypt. Перехресний підпис буде діяти протягом трьох років і продовжуватиме бути сумісним з пристроями Android з версії 2.3.6.
Проте, новий проміжний сертифікат не охоплює багато інших застарілих систем. Наприклад, після закінчення терміну дії сертифіката DST Root CA X3 (сьогодні, 30 вересня), сертифікати Let's Encrypt більше не прийматимуться у непідтримуваних прошивках та операційних системах, у яких, щоб гарантувати довіру до сертифікатів Let's Encrypt, вам потрібно буде вручну додати Корінь ISRG. Сертифікат X1 для кореневого сховища сертифікатів. Проблеми проявляться у:
OpenSSL до філії 1.0.2 включно (обслуговування відділення 1.0.2 було припинено у грудні 2019 року);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- Windows
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
У випадку OpenSSL 1.0.2, проблема викликана помилкою, яка перешкоджає правильній обробці сертифікатів перехресний підпис, якщо один із кореневих сертифікатів, які беруть участь у підписанні, закінчується, хоча інші дійсні ланцюжки довіри зберігаються.
Проблема вперше з’явився минулого року після закінчення терміну дії сертифіката AddTrust використовується для перехресного підпису в сертифікатах центру сертифікації Sectigo (Comodo). Серце проблеми полягає в тому, що OpenSSL аналізував сертифікат як лінійний ланцюжок, тоді як згідно з RFC 4158, сертифікат може представляти спрямовану розподілену кругову діаграму з різними якорями довіри, які необхідно враховувати.
Користувачам старих дистрибутивів на основі OpenSSL 1.0.2 пропонуються три рішення для вирішення проблеми:
- Видаліть кореневий кореневий сертифікат IdenTrust DST Root CA X3 і встановіть автономний кореневий сертифікат ISRG Root X1 (без перехресного підписання).
- Укажіть параметр "–trusted_first" під час виконання команд openssl verify і s_client.
- Використовуйте сертифікат на сервері, сертифікований окремим кореневим сертифікатом SRG Root X1, який не має перехресного підпису (Let's Encrypt пропонує можливість запитувати такий сертифікат). Цей метод призведе до втрати сумісності зі старими клієнтами Android.
Крім того, проект Let's Encrypt пройшов віху у створенні двох мільярдів сертифікатів. Значний мільярдний етап був досягнутий у лютому минулого року. Щодня генерується 2,2-2,4 мільйона нових сертифікатів. Кількість активних сертифікатів становить 192 млн (сертифікат діє протягом трьох місяців) і охоплює близько 260 млн доменів (рік тому він охоплював 195 млн доменів, два роки тому - 150 млн, три роки тому - 60 млн).
Згідно зі статистикою служби Firefox Telemetry, глобальна частка запитів сторінок через HTTPS становить 82%(рік тому - 81%, два роки тому - 77%, три роки тому - 69%, чотири роки тому - 58%).
Фуенте: https://scotthelme.co.uk/