Нека да шифроваме (контролиран от общността орган за сертифициране с нестопанска цел, който предоставя безплатни сертификати на всички) обяви следващия преход за генериране на подписи като използвате само вашия корен сертификат, без да използвате сертификат, кръстосано подписан от сертифициращия орган IdenTrust.
Основният сертификат Let's Encrypt Той е съвместим с всички съвременни браузъри, но е признат едва от Android 7.1.1, пуснат в края на 2016 г.
Проблемът е, че според наличните статистически данни само 66,2% от всички устройства с Android използват Android 7.1 и по-нови версии.
Следователно 33,8% от използваните устройства с Android нямат данни в първоначалния сертификат Let's Encrypt и след изтичането на кръстосано подписания сертификат ще се покаже грешка при опит за отваряне на сайтове с помощта на Let's Encrypt сертификати на тези устройства. .
Процентът на потребителите на Android, които не приемат първоначалния сертификат Let's Encrypt, се оценява на между 1 и 5% от аудиторията за големи сайтове.
Let's Encrypt не възнамерява да сключва ново споразумение за кръстосан подпис, тъй като това налага голяма допълнителна отговорност на страните по споразумението, лишава ги от независимост и им връзва ръцете при спазване на всички процедури и правила на друг сертифициращ орган.
Освен това иl Проблем с актуализирането на стари устройства с Android Вероятно няма да изчезне и кръстосаното споразумение ще трябва да се подновява отново и отново.
От 11 януари 2021 г. ще бъдат направени промени в API на Let's Encrypt и по подразбиране клиентите на ACME ще получат ISRG Root X1 сертификати без кръстосано подписване.
Потребителите, загрижени за съвместимостта, ще имат възможност да поискат алтернативен сертификат, удостоверен с помощта на старата схема за кръстосана проверка, но такива сертификати ще продължат да бъдат ограничени от живота на кръстосано подписания корен сертификат (1 септември 2021 г.).
Като решение, По-старите потребители на Android устройства се съветват да преминат към браузъра Firefox, който има свое собствено актуализирано хранилище на root сертификати.
Но Firefox не поддържа Android 4.x (около 2% от активните устройства с Android) и може да работи само с Android 5.0 или по-нова версия.
Собствениците на сайтове, които не желаят да приемат загубата на съвместимост с по-стари телефони с Android, се съветват да обработват заявки от по-стари устройства с Android чрез HTTP или да преминат към CA, който е съвместим с по-старите версии на Android.
Ето как обяви Let's Encrypt:
„DST Root X3 root сертификатът, който се доверяваме да стартира, изтича на 1 септември 2021 г. За щастие сме готови да се изправим и да разчитаме единствено на собствения си root сертификат.“
Тази пълна промяна на сертификата Let's Encrypt обаче няма да остане без последствия.
„Някои софтуери, които не са актуализирани от 2016 г. (около когато нашият root е бил приет от много root програми), все още нямат доверие на нашия root сертификат, ISRG Root X1,“ обясни Jacob Hoffman-Andrews (старши разработчик в Let's Encrypt и старши технолог в Electronic Frontier Foundation) в известие.
„Това включва по-специално версии на Android преди версия 7.1.1. Това означава, че тези по-стари версии на Android вече няма да се доверяват на сертификати, издадени от Let's Encrypt ”.
„За вградения браузър на телефон с Android списъкът с надеждни коренни сертификати идва от операционната система, която е остаряла на тези по-стари телефони. В момента обаче Firefox е уникален сред браузърите: той се предлага със собствен списък с надеждни коренни сертификати. Така че всеки, който инсталира най-новата версия на Firefox, се възползва от актуален списък с доверени сертифициращи органи, дори ако операционната им система е остаряла “, според Hoffman-Andrews.
Известието е насочено и към някои собственици на уебсайтове, които получават жалби от потребители, за да могат да се подготвят за промяната. Let's Encrypt ги насърчава да внедрят временно решение (превключване към алтернативна верига от сертификати), за да поддържат сайта им работещ, докато оценяват какво им е необходимо за дългосрочно решение.
Fuente: https://letsencrypt.org