这些是由于 Let's Encrypt 证书而停止访问互联网的设备

今天,30月XNUMX日, IdenTrust 根证书有效期已过期 并且是这个证书 用于签署 Let's Encrypt 证书(ISRG Root X1),由社区控制并向所有人免费提供证书。

该公司确保了 Let's Encrypt 证书在各种设备、操作系统和浏览器上的信任,同时将 Let's Encrypt 自己的根证书集成到根证书存储中。

原计划在DST Root CA X3过时后, 让我们加密项目 它将切换到仅使用您的证书生成签名,但这样的步骤会导致兼容性丧失 有很多旧系统没有。 特别是,大约 30% 的 Android 设备在使用中没有关于 Let's Encrypt 根证书的数据,其支持仅在 7.1.1 年底发布的 Android 2016 平台上出现。

Let's Encrypt 不打算签订新的交叉签名协议,因为这给协议各方施加了额外的责任,剥夺了他们的独立性,并束缚了他们遵守另一个认证机构的所有程序和规则.

但由于大量 Android 设备上的潜在问题,该计划被修改。 与证书颁发机构 IdenTrust 签署了一项新协议,根据该协议创建了替代的 Let's Encrypt 中间交叉签名证书。 交叉签名有效期为三年,并将继续与 2.3.6 版本的 Android 设备兼容。

然而, 新的中间证书不包括许多其他遗留系统。 例如,在 DST Root CA X3 证书到期后(今天 30 月 1 日),不受支持的固件和操作系统将不再接受 Let's Encrypt 证书,其中,为了确保对 Let's Encrypt 证书的信任,您需要手动添加ISRG 根。 XXNUMX 证书到根证书存储。 问题会表现在:

OpenSSL 直到并包括分支 1.0.2(分支 1.0.2 的维护已于 2019 年 XNUMX 月停止);

  • NSS <3,26
  • Java 8 <8u141,Java 7 <7u151
  • 视窗
  • macOS <10.12.1
  • iOS <10 (iPhone <5)
  • 安卓 <2.3.6
  • Mozilla 火狐 <50
  • Ubuntu <16.04
  • Debian <8

在 OpenSSL 1.0.2 的情况下, 该问题是由阻止正确处理证书的错误引起的 如果参与签名的根证书之一过期,则交叉签名,但保留其他有效的信任链。

问题 去年在 AddTrust 证书到期后首次出现 用于交叉签署Sectigo (Comodo) 证书颁发机构的证书。 问题的核心是 OpenSSL 将证书解析为线性链,而根据 RFC 4158,证书可以表示具有需要考虑的各种信任锚的有向分布式饼图。

为使用基于 OpenSSL 1.0.2 的旧发行版的用户提供了三种解决方案来解决该问题:

  • 手动删除 IdenTrust DST Root CA X3 根证书并安装独立的 ISRG Root X1 根证书(无交叉签名)。
  • 在运行 openssl verify 和 s_client 命令时指定“–trusted_first”选项。
  • 在服务器上使用由未交叉签名的独立 SRG Root X1 根证书认证的证书(Let's Encrypt 提供了请求此类证书的选项)。 这种方法会导致与旧的 Android 客户端不兼容。

此外,Let's Encrypt 项目已经突破了生成 2,2 亿个证书的里程碑。 去年 2,4 月达到了 192 亿的里程碑。 每天生成 260-195 万个新证书。 有效证书数量为 150 亿(证书有效期为三个月),覆盖约 60 亿个域(一年前覆盖 XNUMX 亿个域,两年前 - XNUMX 亿,三年前 - XNUMX 万)。

根据 Firefox 遥测服务的统计,HTTPS 页面请求的全球份额为 82%(一年前 - 81%,两年前 - 77%,三年前 - 69%,四年前 - 58%)。

数据来源: https://scotthelme.co.uk/


本文内容遵循我们的原则 编辑伦理。 要报告错误,请单击 信息.

成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责资料:AB Internet Networks 2008 SL
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。