Ας κρυπτογραφήσουμε (αρχή πιστοποίησης μη κερδοσκοπικού χαρακτήρα που ελέγχεται από την κοινότητα και παρέχει δωρεάν πιστοποιητικά σε όλους) ανακοίνωσε την επόμενη μετάβαση για τη δημιουργία υπογραφών χρησιμοποιώντας μόνο το πιστοποιητικό ρίζας σας, χωρίς να χρησιμοποιήσετε ένα πιστοποιητικό διασταυρωμένο από την αρχή έκδοσης πιστοποιητικών IdenTrust.
Το πιστοποιητικό ρίζας Let's Encrypt είναι συμβατό με όλα τα σύγχρονα προγράμματα περιήγησης, αλλά αναγνωρίζεται μόνο από το Android 7.1.1, κυκλοφόρησε στα τέλη του 2016.
Το πρόβλημα είναι ότι, σύμφωνα με τα διαθέσιμα στατιστικά στοιχεία, Μόνο το 66,2% όλων των συσκευών Android χρησιμοποιούν Android 7.1 και νεότερες εκδόσεις.
Επομένως, το 33,8% των συσκευών Android που χρησιμοποιούνται δεν έχουν δεδομένα στο πιστοποιητικό ρίζας Let's Encrypt και μόλις λήξει το πιστοποιητικό πολλαπλής υπογραφής, θα εμφανιστεί ένα σφάλμα κατά την προσπάθεια ανοίγματος ιστότοπων χρησιμοποιώντας πιστοποιητικά Let's Encrypt σε αυτές τις συσκευές. .
Το ποσοστό των χρηστών Android που δεν αποδέχονται το πιστοποιητικό ρίζας Let's Encrypt εκτιμάται σε περίπου 1% έως 5% του κοινού για μεγάλους ιστότοπους.
Το Let's Encrypt δεν σκοπεύει να συνάψει νέα συμφωνία πολλαπλής υπογραφής, καθώς αυτό επιβάλλει μεγάλη πρόσθετη ευθύνη στα μέρη της συμφωνίας, τους στερεί την ανεξαρτησία και δεσμεύει τα χέρια τους να συμμορφωθούν με όλες τις διαδικασίες και τους κανόνες μιας άλλης αρχής πιστοποίησης.
Άλλωστε, καιl Πρόβλημα με την ενημέρωση παλιών συσκευών Android πιθανότατα δεν θα πάει μακριά και η διασταυρούμενη συμφωνία θα πρέπει να ανανεωθεί ξανά και ξανά.
Από τις 11 Ιανουαρίου 2021, θα γίνουν αλλαγές στο Let's Encrypt API και από προεπιλογή, οι πελάτες ACME θα λάβουν πιστοποιητικά ISRG Root X1 χωρίς διασταυρούμενη υπογραφή.
Οι χρήστες που ανησυχούν για τη συμβατότητα θα έχουν την ευκαιρία να ζητήσουν ένα εναλλακτικό πιστοποιητικό, επικυρωμένο χρησιμοποιώντας το παλιό σχήμα πολλαπλής επικύρωσης, αλλά αυτά τα πιστοποιητικά θα συνεχίσουν να περιορίζονται από τη διάρκεια ζωής του πιστοποιητικού ρίζας πολλαπλής υπογραφής (1 Σεπτεμβρίου 2021)
Ως λύση, Συνιστάται στους παλαιότερους χρήστες συσκευών Android να μεταβούν στο πρόγραμμα περιήγησης Firefox, που έχει το δικό του ενημερωμένο κατάστημα πιστοποιητικών ρίζας.
Ωστόσο, ο Firefox δεν υποστηρίζει το Android 4.x (περίπου 2% των ενεργών συσκευών Android) και μπορεί να εκτελεστεί μόνο σε Android 5.0 ή νεότερο.
Οι κάτοχοι ιστότοπων που δεν επιθυμούν να αποδεχθούν την απώλεια συμβατότητας με παλαιότερα τηλέφωνα Android συνιστάται να επεξεργάζονται αιτήματα από παλαιότερες συσκευές Android μέσω HTTP ή να μεταβούν σε μια αρχή που είναι συμβατή με παλαιότερες εκδόσεις Android.
Δείτε πώς ανακοινώθηκε το Let's Encrypt:
"Το πιστοποιητικό ρίζας DST Root X3 που εμπιστευόμαστε για εκκίνηση θα λήξει την 1η Σεπτεμβρίου 2021. Ευτυχώς, είμαστε έτοιμοι να σηκωθούμε και να βασιστούμε αποκλειστικά στο δικό μας πιστοποιητικό ρίζας."
Ωστόσο, αυτή η πλήρης αλλαγή στο πιστοποιητικό Let's Encrypt δεν θα έχει συνέπειες.
«Κάποιο λογισμικό που δεν έχει ενημερωθεί από το 2016 (περίπου όταν το root μας έγινε αποδεκτό από πολλά προγράμματα root) εξακολουθούν να μην εμπιστεύονται το πιστοποιητικό root μας, το ISRG Root X1», εξήγησε ο Jacob Hoffman-Andrews (ανώτερος προγραμματιστής στο Let's Encrypt και ανώτερος τεχνολόγος στο Electronic Frontier Foundation) σε ανακοίνωση.
«Αυτό περιλαμβάνει συγκεκριμένες εκδόσεις Android πριν από την έκδοση 7.1.1. Αυτό σημαίνει ότι αυτές οι παλιές εκδόσεις του Android δεν θα εμπιστεύονται πλέον τα πιστοποιητικά που εκδίδονται από το Let's Encrypt ».
«Για το ενσωματωμένο πρόγραμμα περιήγησης σε τηλέφωνο Android, η λίστα των αξιόπιστων πιστοποιητικών ρίζας προέρχεται από το λειτουργικό σύστημα, το οποίο είναι παρωχημένο σε αυτά τα παλαιότερα τηλέφωνα. Ωστόσο, ο Firefox είναι επί του παρόντος μοναδικός μεταξύ των προγραμμάτων περιήγησης: συνοδεύεται από τη δική του λίστα αξιόπιστων πιστοποιητικών ρίζας. Έτσι, όποιος εγκαταστήσει την τελευταία έκδοση του Firefox επωφελείται από μια ενημερωμένη λίστα αξιόπιστων αρχών έκδοσης πιστοποιητικών, ακόμα και αν το λειτουργικό τους σύστημα είναι ξεπερασμένο », σύμφωνα με τον Hoffman-Andrews.
Η ειδοποίηση απευθύνεται επίσης σε ορισμένους κατόχους ιστότοπων που λαμβάνουν καταγγελίες από χρήστες, ώστε να μπορούν να προετοιμαστούν για την αλλαγή. Το Let's Encrypt τους ενθαρρύνει να εφαρμόσουν μια προσωρινή λύση (μετάβαση στην εναλλακτική αλυσίδα πιστοποιητικών) για να διατηρήσουν τον ιστότοπό τους σε λειτουργία και να αξιολογούν, ενώ αξιολογούν τι χρειάζονται για μια μακροπρόθεσμη λύση.
πηγή: https://letsencrypt.org