Zašifrujeme (komunitně kontrolovaná nezisková certifikační autorita, která poskytuje certifikáty zdarma všem) oznámila další přechod ke generování podpisů používání pouze vašeho kořenového certifikátu, bez použití certifikátu křížově podepsaného certifikační autoritou IdenTrust.
Kořenový certifikát Let's Encrypt Je kompatibilní se všemi moderními prohlížeči, ale je rozpoznán pouze jako Android 7.1.1, vydaný koncem roku 2016.
Problém je v tom, že podle dostupných statistik pouze 66,2% všech zařízení Android používá Android 7.1 a novější verze.
Proto 33,8% používaných zařízení Android nemá v kořenovém certifikátu Let's Encrypt žádná data a po vypršení platnosti certifikátu s křížovým podpisem se při pokusu o otevření webů pomocí certifikátů Let's Encrypt na těchto zařízeních zobrazí chyba.
Procento uživatelů Androidu, kteří nepřijímají kořenový certifikát Let's Encrypt, se u velkých webů odhaduje na přibližně 1% až 5% publika.
Pojďme šifrovat nemá v úmyslu uzavřít novou dohodu o křížovém podpisu, protože to ukládá stranám dohody další velkou odpovědnost, zbavuje je nezávislosti a svazuje jim ruce při dodržování všech postupů a pravidel jiného certifikačního orgánu.
Kromě toho aMám problém s aktualizací starých zařízení Android Pravděpodobně to nezmizí a křížová dohoda bude muset být znovu a znovu obnovována.
Od 11. ledna 2021 budou provedeny změny v rozhraní Let's Encrypt API a ve výchozím nastavení zákazníci ACME obdrží certifikáty ISRG Root X1 bez křížového podepisování.
Uživatelé, kteří se zajímají o kompatibilitu, budou mít možnost požádat o alternativní certifikát ověřený pomocí starého schématu křížové validace, ale tyto certifikáty budou i nadále omezeny životností kořenového certifikátu s křížovým podpisem (1. září 2021).
Jako řešení Starší uživatelé zařízení Android se doporučuje přepnout na prohlížeč Firefox, který má své vlastní aktualizované úložiště kořenových certifikátů.
Firefox ale nepodporuje Android 4.x (asi 2% aktivních zařízení Android) a lze jej spustit pouze v systému Android 5.0 nebo novějším.
Vlastníkům stránek, kteří nejsou ochotni akceptovat ztrátu kompatibility se staršími telefony Android, se doporučuje zpracovávat žádosti ze starších zařízení Android přes HTTP nebo přejít na CA, která je kompatibilní se staršími verzemi Androidu.
Takto oznámíme Let's Encrypt:
„Platnost kořenového certifikátu DST Root X3, jehož spuštění důvěřujeme, vyprší 1. září 2021. Naštěstí jsme připraveni vstát a spoléhat se pouze na svůj vlastní kořenový certifikát.“
Tato úplná změna samotného certifikátu Let's Encrypt však nebude bez následků.
„Některý software, který nebyl aktualizován od roku 2016 (přibližně v době, kdy byl náš root přijat mnoha kořenovými programy), stále nedůvěřuje našemu kořenovému certifikátu ISRG Root X1,“ vysvětlil Jacob Hoffman-Andrews (senior vývojář v Let's Encrypt a senior technologist ve společnosti Electronic Frontier Foundation) v oznámení.
„Jedná se zejména o verze Androidu před verzí 7.1.1. To znamená, že tyto starší verze Androidu již nebudou důvěřovat certifikátům vydaným Let's Encrypt “.
"U integrovaného prohlížeče v telefonu Android pochází seznam důvěryhodných kořenových certifikátů z operačního systému, který je u těchto starších telefonů zastaralý." Firefox je však v současnosti mezi prohlížeči jedinečný: přichází s vlastním seznamem důvěryhodných kořenových certifikátů. Takže každý, kdo si nainstaluje nejnovější verzi Firefoxu, těží z aktuálního seznamu důvěryhodných certifikačních autorit, i když je jeho operační systém zastaralý, “uvádí Hoffman-Andrews.
Oznámení je také zaměřeno na některé vlastníky webových stránek, kteří dostávají stížnosti od uživatelů, aby se mohli na změnu připravit. Pojďme Encrypt je povzbuzuje k implementaci prozatímního řešení (přepnutí na alternativní řetězec certifikátů), aby udrželi jejich web v provozu, zatímco oni vyhodnotí, co potřebují pro dlouhodobé řešení.
zdroj: https://letsencrypt.org