Преди няколко седмици споделяме тук в блога новината, че Let's Encrypt (орган с нестопанска цел, контролиран от общността, който предоставя сертификати безплатно на всички) предупреди потребителите за предстояща промяна в генерирането на подписи, което би причинило проблеми и особено загуба на съвместимост с приблизително 33% от използваните устройства с Android.
И това беше така, защото рекламираше прехода към генериране на подписи, използвайки само неговия корен сертификат, без да използва сертификат, кръстосано подписан от сертифициращия орган IdenTrust.
Беше споменато, че от 11 януари 2021 г. ще бъдат направени промени в API на Let's Encrypt и по подразбиране клиентите на ACME ще получат ISRG Root X1 сертификати без кръстосано подписване.
За новия тип Let's Encrypt root сертификат беше споменато, че е съвместим с всички съвременни браузъри, но той се разпознава само от Android 7.1.1, пуснат в края на 2016 г. (ако искате да научите повече за новините, можете да се консултирате публикацията В следващия линк).
Перо ахора, Let's Encrypt обяви, че планът е преработен и че съвместимостта с по-стари устройства с Android ще продължи още поне три години.
Промяната на API насрочено за 11 януари, което предполага преход към издаване по подразбиране на сертификати, сертифицирани само от основния сертификат ISRG Root X1, без кръстосан подпис, то е отложено за юни 2021 г.
Имаме удоволствието да ви съобщим, че разработихме начин за по-стари устройства с Android да запазят способността си да посещават сайтове, които използват сертификати Let's Encrypt, след като брокерите ни с кръстосани подписи изтекат. Вече не планираме промени през януари, които биха могли да доведат до проблеми със съвместимостта на абонатите Let's Encrypt.
В същото време, беше решено като опция да се предложи възможност за искане на алтернативен сертификат, сертифициран съгласно старата схема за кръстосана проверка и поддържащ съвместимост с устройства в хранилището на коренови сертификати, към които сертификатът Let's Encrypt не е добавен.
Алтернативен сертификат ще бъде генериран в края на януари или началото на февруари 2021 г. като част от допълнително споразумение със сертифициращия орган на IdenTrust. В допълнение към коренния сертификат ISRG Root X1, принадлежащ на Let's Encrypt, този сертификат ще бъде кръстосано подписан с помощта на сертификата DST Root CA X3 на IdenTrust.
Кръстосаният подпис ще важи три години, което е по-малко от периода на валидност на основния корен сертификат ISRG Root X1.
Тъй като кръстосаният подпис ще изтече преди подписването с основния кодиращ сертификат Let's Encrypt, възможно е да възникнат проблеми, подобни на инцидента с изтичането на коренния сертификат AddTrust, използван за кръстосано подписване в сертификати на сертифициращия орган Sectigo (Comodo ).
Браузърите са обработили коректно изтичането на кръстосания сертификат AddTrust, но това предизвика масивни сривове на системи OpenSSL и GnuTLS, въпреки че основният корен сертификат на Comodo все още беше валиден и веригата на доверие с текущия сертификат продължи.
За да се уверят, че новият сертификат Let's Encrypt не създава подобни проблеми със съвместимостта, сертифициращите органи IdenTrust и Let's Encrypt възнамеряват да прегледат внедрената схема с помощта на външни одитори.
За напомняне, коренният сертификат, притежаван от Let's Encrypt, е съвместим с всички съвременни браузъри, но той се разпознава само като платформа Android 7.1.1, пусната в края на 2016 г. Според наличните статистически данни само 66,2% от всички Устройствата с Android използват Android 7.1 и по-нови версии.
33,8% от използваните устройства с Android нямат данни от root Encrypt сертификата, тоест те изискват допълнително подписан сертификат с корен сертификат, съвместим с предишните версии на Android, за да продължат да работят правилно. Ако се опитате да отворите сайтове, подписани само с коренния сертификат Let's Encrypt на тези устройства, ще се появи грешка.
И накрая, ако се интересувате да научите повече за това Можете да проверите подробностите за новините в оригиналната бележка, до която имате достъп следната връзка.