Hôm nay, ngày 30 tháng XNUMX năm Thời gian tồn tại của chứng chỉ gốc IdenTrust đã hết hạn và đó có phải là chứng chỉ này không đã được sử dụng để ký chứng chỉ Let's Encrypt (ISRG Root X1), được kiểm soát bởi cộng đồng và cung cấp chứng chỉ miễn phí cho tất cả mọi người.
Công ty đảm bảo sự tin cậy của chứng chỉ Let's Encrypt trên nhiều loại thiết bị, hệ điều hành và trình duyệt trong khi tích hợp chứng chỉ gốc của chính Let's Encrypt vào kho lưu trữ chứng chỉ gốc.
Theo kế hoạch ban đầu, sau khi DST Root CA X3 lỗi thời, dự án Let's Encrypt nó sẽ chuyển sang tạo chữ ký chỉ sử dụng chứng chỉ của bạn, nhưng bước như vậy sẽ dẫn đến mất khả năng tương thích với rất nhiều hệ thống cũ không có. Đặc biệt, khoảng 30% thiết bị Android đang sử dụng không có dữ liệu trên chứng chỉ gốc Let's Encrypt, hỗ trợ chỉ xuất hiện trên nền tảng Android 7.1.1, được phát hành vào cuối năm 2016.
Let's Encrypt không có kế hoạch tham gia một thỏa thuận chữ ký chéo mới, vì điều này đặt ra trách nhiệm bổ sung cho các bên trong thỏa thuận, tước bỏ quyền độc lập của họ và buộc họ phải tuân thủ tất cả các thủ tục và quy tắc của một cơ quan cấp chứng chỉ khác.
Nhưng do các vấn đề tiềm ẩn trên một số lượng lớn thiết bị Android, kế hoạch đã được sửa đổi. Một thỏa thuận mới đã được ký với cơ quan cấp chứng chỉ IdenTrust, theo đó chứng chỉ chữ ký chéo trung gian Let's Encrypt thay thế đã được tạo. Chữ ký chéo sẽ có hiệu lực trong ba năm và sẽ tiếp tục tương thích với các thiết bị Android từ phiên bản 2.3.6.
Tuy nhiên, chứng chỉ trung gian mới không bao gồm nhiều hệ thống kế thừa khác. Ví dụ: sau khi chứng chỉ DST Root CA X3 hết hạn (hôm nay 30 tháng 1), chứng chỉ Let's Encrypt sẽ không còn được chấp nhận trên các hệ điều hành và chương trình cơ sở không được hỗ trợ, trong đó, để đảm bảo độ tin cậy trong chứng chỉ Let's Encrypt, bạn sẽ cần phải thêm Gốc ISRG. Chứng chỉ XXNUMX vào kho lưu trữ chứng chỉ gốc. Các vấn đề sẽ tự thể hiện trong:
OpenSSL lên đến và bao gồm nhánh 1.0.2 (việc bảo trì nhánh 1.0.2 đã ngừng hoạt động vào tháng 2019 năm XNUMX);
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- các cửa sổ
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Trong trường hợp của OpenSSL 1.0.2, vấn đề là do lỗi ngăn cản việc xử lý đúng các chứng chỉ được ký chéo nếu một trong các chứng chỉ gốc liên quan đến việc ký kết hết hạn, mặc dù các chuỗi tin cậy hợp lệ khác vẫn được giữ nguyên.
Vấn đề xuất hiện lần đầu tiên vào năm ngoái sau khi chứng chỉ AddTrust hết hạn được sử dụng để ký chéo trên các chứng chỉ của cơ quan cấp chứng chỉ Sectigo (Comodo). Trọng tâm của vấn đề là OpenSSL đã phân tích cú pháp chứng chỉ dưới dạng một chuỗi tuyến tính, trong khi theo RFC 4158, chứng chỉ có thể đại diện cho một biểu đồ hình tròn phân tán có hướng với các neo tin cậy khác nhau cần được tính đến.
Người dùng các bản phân phối cũ hơn dựa trên OpenSSL 1.0.2 được cung cấp ba giải pháp để giải quyết vấn đề:
- Gỡ bỏ chứng chỉ gốc IdenTrust DST Root CA X3 theo cách thủ công và cài đặt chứng chỉ gốc ISRG Root X1 độc lập (không ký chéo).
- Chỉ định tùy chọn "–trusted_first" khi chạy lệnh openssl verify và s_client.
- Sử dụng chứng chỉ trên máy chủ được chứng nhận bởi chứng chỉ gốc SRG Root X1 độc lập không bị ký chéo (Let's Encrypt cung cấp tùy chọn để yêu cầu chứng chỉ đó). Phương pháp này sẽ dẫn đến mất khả năng tương thích với các máy khách Android cũ.
Ngoài ra, dự án Let's Encrypt đã vượt qua cột mốc hai tỷ chứng chỉ được tạo ra. Vào tháng Hai năm ngoái, cột mốc một tỷ đã đạt được. Mỗi ngày có 2,2-2,4 triệu chứng chỉ mới được tạo ra. Số lượng chứng chỉ đang hoạt động là 192 triệu (chứng chỉ có hiệu lực trong ba tháng) và bao gồm khoảng 260 triệu tên miền (một năm trước nó bao gồm 195 triệu tên miền, hai năm trước - 150 triệu, ba năm trước - 60 triệu).
Theo thống kê từ dịch vụ Firefox Telemetry, tỷ lệ yêu cầu trang trên toàn cầu qua HTTPS là 82% (một năm trước - 81%, hai năm trước - 77%, ba năm trước - 69%, bốn năm trước - 58%).
Fuente: https://scotthelme.co.uk/