今天,30月XNUMX日, IdenTrust 根证书有效期已过期 并且是这个证书 用于签署 Let's Encrypt 证书(ISRG Root X1),由社区控制并向所有人免费提供证书。
该公司确保了 Let's Encrypt 证书在各种设备、操作系统和浏览器上的信任,同时将 Let's Encrypt 自己的根证书集成到根证书存储中。
原计划在DST Root CA X3过时后, 让我们加密项目 它将切换到仅使用您的证书生成签名,但这样的步骤会导致兼容性丧失 有很多旧系统没有。 特别是,大约 30% 的 Android 设备在使用中没有关于 Let's Encrypt 根证书的数据,其支持仅在 7.1.1 年底发布的 Android 2016 平台上出现。
Let's Encrypt 不打算签订新的交叉签名协议,因为这给协议各方施加了额外的责任,剥夺了他们的独立性,并束缚了他们遵守另一个认证机构的所有程序和规则.
但由于大量 Android 设备上的潜在问题,该计划被修改。 与证书颁发机构 IdenTrust 签署了一项新协议,根据该协议创建了替代的 Let's Encrypt 中间交叉签名证书。 交叉签名有效期为三年,并将继续与 2.3.6 版本的 Android 设备兼容。
然而, 新的中间证书不包括许多其他遗留系统。 例如,在 DST Root CA X3 证书到期后(今天 30 月 1 日),不受支持的固件和操作系统将不再接受 Let's Encrypt 证书,其中,为了确保对 Let's Encrypt 证书的信任,您需要手动添加ISRG 根。 XXNUMX 证书到根证书存储。 问题会表现在:
OpenSSL 直到并包括分支 1.0.2(分支 1.0.2 的维护已于 2019 年 XNUMX 月停止);
- NSS <3,26
- Java 8 <8u141,Java 7 <7u151
- 视窗
- macOS <10.12.1
- iOS <10 (iPhone <5)
- 安卓 <2.3.6
- Mozilla 火狐 <50
- Ubuntu <16.04
- Debian <8
在 OpenSSL 1.0.2 的情况下, 该问题是由阻止正确处理证书的错误引起的 如果参与签名的根证书之一过期,则交叉签名,但保留其他有效的信任链。
问题 去年在 AddTrust 证书到期后首次出现 用于交叉签署Sectigo (Comodo) 证书颁发机构的证书。 问题的核心是 OpenSSL 将证书解析为线性链,而根据 RFC 4158,证书可以表示具有需要考虑的各种信任锚的有向分布式饼图。
为使用基于 OpenSSL 1.0.2 的旧发行版的用户提供了三种解决方案来解决该问题:
- 手动删除 IdenTrust DST Root CA X3 根证书并安装独立的 ISRG Root X1 根证书(无交叉签名)。
- 在运行 openssl verify 和 s_client 命令时指定“–trusted_first”选项。
- 在服务器上使用由未交叉签名的独立 SRG Root X1 根证书认证的证书(Let's Encrypt 提供了请求此类证书的选项)。 这种方法会导致与旧的 Android 客户端不兼容。
此外,Let's Encrypt 项目已经突破了生成 2,2 亿个证书的里程碑。 去年 2,4 月达到了 192 亿的里程碑。 每天生成 260-195 万个新证书。 有效证书数量为 150 亿(证书有效期为三个月),覆盖约 60 亿个域(一年前覆盖 XNUMX 亿个域,两年前 - XNUMX 亿,三年前 - XNUMX 万)。
根据 Firefox 遥测服务的统计,HTTPS 页面请求的全球份额为 82%(一年前 - 81%,两年前 - 77%,三年前 - 69%,四年前 - 58%)。
数据来源: https://scotthelme.co.uk/