Hajde da šifriramo (neprofitno tijelo za ovjeru pod kontrolom zajednice koje svima pruža besplatne certifikate) najavio sljedeći prijelaz za generiranje potpisa koristeći samo vaš korijenski certifikat, bez korištenja certifikata koji je unakrsno potpisalo tijelo za izdavanje certifikata IdenTrust.
Šifrirajmo korijenski certifikat Kompatibilan je sa svim modernim preglednicima, ali prepoznat je tek kao Android 7.1.1, objavljen krajem 2016. godine.
Problem je u tome što, prema dostupnim statistikama, samo 66,2% svih Android uređaja koristi Android 7.1 i novije verzije.
Stoga 33,8% Android uređaja u upotrebi nema podataka u korijenskom certifikatu Let's Encrypt, a kada iskrsne potpisani certifikat istekne, prikazat će se pogreška pri pokušaju otvaranja web lokacija pomoću Let's Encrypt certifikata na tim uređajima. .
Procjenjuje se da je postotak korisnika Androida koji ne prihvaćaju root šifru Let's Encrypt između 1 i 5% publike za velike web lokacije.
Let's Encrypt ne namjerava sklopiti novi ugovor o unakrsnom potpisivanju, jer ovo nameće veliku dodatnu odgovornost stranama sporazuma, lišava ih neovisnosti i veže ruke u poštivanju svih postupaka i pravila drugog tijela za ovjeru.
Osim toga, il Problem s ažuriranjem starih Android uređaja Vjerovatno neće nestati i ukršteni sporazum morat će se iznova i iznova obnavljati.
Od 11. siječnja 2021. izvršit će se izmjene u API-ju Let's Encrypt i po defaultu, kupci ACME-a dobit će ISRG Root X1 certifikate bez unakrsnog potpisivanja.
Korisnici zabrinuti zbog kompatibilnosti imat će priliku zatražiti alternativni certifikat, autentificiran pomoću stare sheme unakrsne provjere valjanosti, ali takvi certifikati i dalje će biti ograničeni vijekom trajanja unakrsnog potpisanog korijenskog certifikata (1. rujna 2021.).
Kao rješenje, Korisnicima starijih Android uređaja savjetuje se da se prebace na Firefox pretraživač, koja ima svoje ažurirano spremište korijenskih certifikata.
Ali Firefox ne podržava Android 4.x (oko 2% aktivnih Android uređaja) i može se pokretati samo na Androidu 5.0 ili novijem.
Vlasnicima web lokacija koji ne žele prihvatiti gubitak kompatibilnosti sa starijim Android telefonima savjetuje se da obrađuju zahtjeve sa starijih Android uređaja putem HTTP-a ili da prijeđu na CA koji je kompatibilan sa starijim verzijama Androida.
Evo kako je najavljeno Let's Encrypt:
"DST Root X3 root certifikat za koji vjerujemo da će se pokrenuti istječe 1. septembra 2021. Srećom, spremni smo ustati i osloniti se isključivo na svoj vlastiti root certifikat."
Međutim, ova potpuna promjena samog certifikata Let's Encrypt neće ostati bez posljedica.
"Neki softveri koji nisu ažurirani od 2016. godine (otprilike kada su mnogi root programi prihvatili naš root) još uvijek ne vjeruju našem root certifikatu, ISRG Root X1," objasnio je Jacob Hoffman-Andrews (stariji programer u Let's Encrypt i stariji tehnolog u Electronic Frontier Foundation) u obavijesti.
„To uključuje posebno verzije Androida prije verzije 7.1.1. To znači da ove starije verzije Androida više neće vjerovati certifikatima koje je izdao Let's Encrypt ”.
„Za ugrađeni pregledač na Android telefonu, lista pouzdanih root certifikata dolazi iz operativnog sistema, koji je zastario na ovim starijim telefonima. Međutim, Firefox je trenutno jedinstven među pregledačima: dolazi sa vlastitom listom pouzdanih root certifikata. Dakle, svi koji instaliraju najnoviju verziju Firefoxa imaju koristi od ažurne liste pouzdanih izdavača certifikata, čak i ako je njihov operativni sistem zastario “, kaže Hoffman-Andrews.
Obavijest je također usmjerena na neke vlasnike web stranica koji primaju pritužbe od korisnika kako bi se mogli pripremiti za promjenu. Let's Encrypt potiče ih da implementiraju privremeno rješenje (prebace se na zamjenski lanac certifikata) kako bi njihova web lokacija bila aktivna dok procijene što im je potrebno za dugoročno rješenje.
Izvor: https://letsencrypt.org