For nogle uger siden vi deler her på bloggen nyheden om, at vi krypterer (en nonprofit, samfundsstyret certificeringsmyndighed, der giver certifikater gratis til alle) advarede brugere om en forestående ændring i signaturgenerering, hvilket ville medføre problemer og frem for alt tab af kompatibilitet med cirka 33% af Android-enheder i brug.
Og dette var fordi det annoncerede overgangen til at generere underskrifter ved kun at bruge dets rodcertifikat uden at bruge et certifikat, der var krydssigneret af IdenTrust-certifikatmyndigheden.
Det blev nævnt, at der fra den 11. januar 2021 foretages ændringer i Let's Encrypt API og som standard modtager ACME-kunder ISRG Root X1-certifikater uden krydssignering.
Den nye type Let's Encrypt-rodcertifikat blev nævnt for at være kompatibel med alle moderne browsere, men det anerkendes kun fra Android 7.1.1, udgivet i slutningen af 2016 (hvis du vil vide mere om nyhederne, kan du konsultere publikationen I det følgende link).
Men nu, Lad os kryptere meddelt, at planen er blevet revideret og at kompatibilitet med ældre Android-enheder fortsætter i mindst tre år til.
API-ændringen planlagt til 11. januar, hvilket indebærer en overgang til standardudstedelse af certifikater, der kun er certificeret af rodcertifikatet ISRG Root X1 uden krydssignatur, det er blevet udsat til juni 2021.
Vi er glade for at kunne meddele, at vi har udviklet en måde, hvorpå ældre Android-enheder kan bevare deres evne til at besøge websteder, der bruger Let's Encrypt-certifikater, efter at vores kryds-signerede mæglere udløber. Vi planlægger ikke længere nogen ændringer i januar, der kan forårsage kompatibilitetsproblemer for Let's Encrypt-abonnenter.
På samme tid det blev besluttet som en mulighed for at tilbyde muligheden for at anmode om et alternativt certifikat, certificeret i henhold til det gamle krydsvalideringsskema og opretholder kompatibilitet med enheder i rodcertifikatlageret, hvortil Let's Encrypt-certifikatet ikke er tilføjet.
Et alternativt certifikat genereres i slutningen af januar eller begyndelsen af februar 2021 som en del af en yderligere aftale med IdenTrust-certificeringsmyndigheden. Ud over ISRG Root X1-rodcertifikatet, der tilhører Let's Encrypt, krydssigneres dette certifikat ved hjælp af IdenTrust's DST Root CA X3-certifikat.
Korssignaturen vil være gyldig i tre år, som er mindre end gyldighedsperioden for det primære rodcertifikat ISRG Root X1.
Da krydssignaturen udløber før signaturen med det vigtigste Lad os kryptere rodcertifikat, er der problemer, der ligner hændelsen med AddTrust-rodcertifikatet, der bruges til krydssignering af certifikater fra Sectigo-certifikatmyndigheden (Comodo ).
Browserne håndterede korrekt udløbet af AddTrust-krydscertifikat, men det forårsagede massive nedbrud på OpenSSL- og GnuTLS-systemer, selvom Comodos vigtigste rodcertifikat stadig var gyldigt, og tillidskæden med det nuværende certifikat fortsatte.
For at sikre, at det nye Let's Encrypt-certifikat ikke skaber lignende kompatibilitetsproblemer, har IdenTrust og Let's Encrypt-certifikatmyndigheder til hensigt at gennemgå den implementerede ordning ved hjælp af eksterne revisorer.
Som en påmindelse er rodcertifikatet, der ejes af Let's Encrypt, kompatibelt med alle moderne browsere, men det anerkendes kun som Android 7.1.1-platformen, der blev frigivet i slutningen af 2016. Ifølge de tilgængelige statistikker er kun 66,2% af Alle Android-enheder bruger Android 7.1 og nyere versioner.
33,8% af de Android-enheder, der er i brug, har ikke data fra Lad os kryptere rodcertifikat, det vil sige, de har brug for et yderligere signeret certifikat med et rodcertifikat, der er kompatibelt med tidligere versioner af Android for at fortsætte med at arbejde korrekt. Hvis du forsøger at åbne websteder, der kun er signeret med Lad os kryptere rodcertifikat på disse enheder, vises en fejl.
Endelig hvis du er interesseret i at vide mere om det Du kan kontrollere detaljerne om nyhederne i den originale note, som du kan få adgang til på følgende link.