قبل بضعة أسابيع نشارك هنا على المدونة الأخبار التي دعونا نشفرها (سلطة إصدار شهادات غير ربحية يتحكم فيها المجتمع توفر شهادات مجانًا للجميع) حذر المستخدمين من حدوث تغيير وشيك في إنشاء التوقيع ، مما قد يتسبب في حدوث مشكلات وفوق كل ذلك فقدان التوافق مع ما يقرب من 33٪ من أجهزة Android قيد الاستخدام.
وكان هذا لأنه كان يعلن عن الانتقال إلى إنشاء التوقيعات باستخدام شهادة الجذر الخاصة به فقط ، دون استخدام شهادة موقعة عبر المرجع المصدق لـ IdenTrust.
ذكر أنه اعتبارًا من 11 يناير 2021 ، سيتم إجراء تغييرات على Let's Encrypt API وبشكل افتراضي ، سيحصل عملاء ACME على شهادات ISRG Root X1 بدون توقيع متبادل.
تم ذكر النوع الجديد من شهادة Let's Encrypt root ليكون متوافقًا مع جميع المتصفحات الحديثة ، ولكن تم التعرف عليه فقط اعتبارًا من Android 7.1.1 ، والذي تم إصداره في نهاية عام 2016 (إذا كنت تريد معرفة المزيد عن الأخبار ، يمكنك الرجوع إلى نشر في الرابط التالي).
لكن الآن، أعلن Let's Encrypt عن مراجعة الخطة وسيستمر هذا التوافق مع أجهزة Android الأقدم لمدة ثلاث سنوات أخرى على الأقل.
تغيير API من المقرر إجراؤه في 11 يناير ، مما يعني الانتقال إلى الإصدار الافتراضي للشهادات المعتمدة فقط من خلال شهادة الجذر ISRG Root X1 ، دون التوقيع المتبادل ، تم تأجيله إلى يونيو 2021.
يسعدنا أن نعلن أننا طورنا طريقة لأجهزة Android القديمة للاحتفاظ بقدرتها على زيارة المواقع التي تستخدم شهادات Let's Encrypt بعد انتهاء صلاحية وسطاء التوقيع المشتركين لدينا. لم نعد نخطط لأي تغييرات في يناير قد تتسبب في حدوث مشكلات في التوافق لمشتركي Let's Encrypt.
في الوقت نفسه ، تقرر كخيار لإتاحة إمكانية طلب شهادة بديلة، معتمد وفقًا لنظام التحقق المتقاطع القديم والحفاظ على التوافق مع الأجهزة في مخزن الشهادات الجذر الذي لم تتم إضافة شهادة Let's Encrypt إليه.
سيتم إصدار شهادة بديلة في أواخر يناير أو أوائل فبراير 2021 كجزء من اتفاقية إضافية مع المرجع المصدق IdenTrust. بالإضافة إلى شهادة الجذر ISRG Root X1 التي تنتمي إلى Let's Encrypt ، سيتم توقيع هذه الشهادة عبر استخدام شهادة DST Root CA X3 الخاصة بـ IdenTrust.
التوقيع المتقاطع ستكون صالحة لمدة ثلاث سنوات ، وهي أقل من فترة صلاحية شهادة الجذر الأولية ISRG Root X1.
نظرًا لأن التوقيع المتقاطع سينتهي قبل التوقيع بشهادة Let's Encrypt الجذرية الرئيسية ، فإن هناك مشكلات مشابهة للحادث مع شهادة الجذر AddTrust المستخدمة لشهادات التوقيع المتقاطع من هيئة شهادات Sectigo (Comodo ).
تعاملت المتصفحات بشكل صحيح مع انتهاء صلاحية الشهادة عبر AddTrust ، لكنها تسببت في حدوث أعطال هائلة في أنظمة OpenSSL و GnuTLS ، على الرغم من أن شهادة الجذر الرئيسية لشركة Comodo كانت لا تزال صالحة واستمرت سلسلة الثقة مع الشهادة الحالية.
للتأكد من أن شهادة Let's Encrypt الجديدة لا تخلق مشكلات توافق مماثلة ، تعتزم سلطات التصديق IdenTrust و Let's Encrypt مراجعة المخطط المنفذ باستخدام مدققين خارجيين.
للتذكير ، فإن شهادة الجذر المملوكة لـ Let's Encrypt متوافقة مع جميع المتصفحات الحديثة ، ولكن يتم التعرف عليها فقط اعتبارًا من نظام Android 7.1.1 ، الذي تم إصداره في نهاية عام 2016. وفقًا للإحصاءات المتاحة ، 66,2٪ فقط من تستخدم جميع أجهزة Android الإصدار 7.1 من نظام التشغيل Android والإصدارات الأحدث.
لا تحتوي 33,8٪ من أجهزة Android المستخدمة على بيانات من شهادة Let's Encrypt الجذر ، أي أنها تتطلب شهادة موقعة إضافية مع شهادة جذر متوافقة مع الإصدارات السابقة من Android لمواصلة العمل بشكل صحيح. إذا حاولت فتح مواقع موقعة فقط بشهادة Let's Encrypt root على تلك الأجهزة ، فسيظهر خطأ.
وأخيرا، إذا كنت مهتمًا بمعرفة المزيد عنها يمكنك التحقق من تفاصيل الخبر في الملاحظة الأصلية التي يمكنك الوصول إليها في الرابط التالي.