Fa algunes setmanes compartim aquí al bloc la notícia que Let's Encrypt (una autoritat de certificació sense ànim de lucre i controlada per la comunitat que proporciona certificats de forma gratuïta a tots) va advertir els usuaris sobre un canvi imminent en la generació de firmes, cosa que provocaria problemes i sobretot perduda de compatibilitat amb aproximadament el 33% dels dispositius Android en ús.
I això va ser perquè anunciava la transició per generar signatures usant només el seu certificat root, sense fer servir un certificat amb signatura creuada per l'autoritat de certificació IdenTrust.
S'esmentava que a partir de l'11 de gener del 2021, es realitzaran canvis a l'API Let's Encrypt i per defecte, els clients d'ACME rebran certificats per ISRG Root X1 sense signatura creuada.
El nou tipus de certificat root de Let's Encrypt s'esmentava que era compatible amb tots els navegadors moderns, però només es reconeix a partir d'Android 7.1.1, llançat a finals de 2016 (si vols conèixer més sobre això sobre la notícia, pots consultar la publicació en el següent enllaç).
Però ara, Let's Encrypt anunci que el pla ha estat revisat i que la compatibilitat amb dispositius Android més antics es mantindrà durant almenys tres anys més.
El canvi d'API previst per a l'11 de gener, que implica una transició a l'emissió per defecte de certificats certificats només pel certificat root ISRG Root X1, sense signatura creuada, s'ha posposat per al juny del 2021.
Ens complau anunciar que hem desenvolupat una manera perquè els dispositius Android més antics conservin la seva capacitat de visitar llocs que usen certificats Let's Encrypt després que expirin els nostres intermediaris amb signatura creuada. Ja no planegem cap canvi al gener que pugui causar problemes de compatibilitat pels subscriptors de Let's Encrypt.
Alhora, es va decidir com a opció brindar la possibilitat de sol·licitar un certificat alternatiu, certificat d'acord amb l'antic esquema de validació creuada i conservant la compatibilitat amb dispositius al magatzem de certificats root als quals no s'ha afegit el certificat Let's Encrypt.
Es generarà un certificat alternatiu a finals de gener o principis de febrer de 2021 com a part dun acord addicional amb lautoritat de certificació IdenTrust. A més del certificat root ISRG Root X1 que pertany a Let's Encrypt, aquest certificat tindrà signatura creuada utilitzant el certificat DST Root CA X3 d'IdenTrust.
La signatura creuada tindrà una validesa de tres anys, que és menys que el període de validesa del certificat root principal ISRG Root X1.
Atès que la signatura creuada caducarà abans que la signatura amb el certificat root principal de Let's Encrypt, és possible que sorgeixin problemes similars a l'incident amb l'expiració del certificat root AddTrust utilitzat per a la signatura creuada als certificats de l'autoritat de certificació Sectigo (Comodo ).
Els navegadors van manejar correctament el venciment del certificat creuat de AddTrust, però va provocar bloquejos massius als sistemes amb OpenSSL i GnuTLS, tot i que el certificat root principal de Comodo encara era vàlid i la cadena de confiança amb el certificat actual persistia.
Per assegurar que el nou certificat Let's Encrypt no creï problemes de compatibilitat similars, les autoritats de certificació IdenTrust i Let's Encrypt tenen la intenció de revisar l'esquema implementat utilitzant auditors externs.
Com a recordatori, el certificat root propietat de Let's Encrypt és compatible amb tots els navegadors moderns, però només es reconeix a partir de la plataforma Android 7.1.1, llançada a finals del 2016. Segons les estadístiques disponibles, només el 66,2% de tots els dispositius Android utilitzen Android 7.1 i versions més recents.
El 33,8% dels dispositius Android en ús no tenen dades del certificat root Let's Encrypt, és a dir, requereixen un certificat signat addicionalment amb un certificat root compatible amb versions anteriors d'Android per continuar funcionant correctament. Si intenteu obrir llocs signats només amb el certificat root Let's Encrypt en aquests dispositius, es mostrarà un error.
Finalment, si estàs interessat en conèixer més a l'respecte pots consultar els detalls de la notícia a la nota original a la qual pots accedir a el següent enllaç.