Let's Encrypt (kogukonna juhitav mittetulunduslik sertifitseerimisasutus, mis pakub kõigile tasuta sertifikaate) teatas allkirjade genereerimise järgmisest üleminekust kasutades ainult oma juursertifikaati, ilma et kasutaksite IdenTrusti sertifikaadi asutuse poolt allkirjastatud sertifikaati.
Krüpteerime juursertifikaadi See ühildub kõigi kaasaegsete brauseritega, kuid seda tunnustatakse ainult Androidi 7.1.1 versioonina, mis ilmus 2016. aasta lõpus.
Probleem on selles, et olemasoleva statistika kohaselt ainult 66,2% kõigist Android-seadmetest kasutab Android 7.1 ja uuemaid versioone.
Seetõttu pole 33,8% kasutatavatest Android-seadmetest juurklassi krüptimise andmeid ja kui ristallkirjastatud sertifikaat aegub, kuvatakse viga, kui proovite saite avada, kasutades seadmetes krüpteerimist. .
Hinnanguliselt on nende Android-kasutajate protsent, kes ei aktsepteeri juurkriteeritud krüptimist, umbes 1–5% suurte saitide vaatajaskonnast.
Let's Encrypt ei kavatse uut ristallkirjastamist sõlmida, kuna see paneb lepinguosalistele suure lisakohustuse, võtab neilt sõltumatuse ja seob käed teise sertifitseerimisasutuse kõigi protseduuride ja reeglite järgimisel.
Pealegi jal Vanade Android-seadmete värskendamise probleem Tõenäoliselt see ei kao ja ristilepingut tuleb ikka ja jälle uuendada.
Alates 11. jaanuarist 2021 tehakse Let's Encrypt API-s muudatusi ja vaikimisi saavad ACME kliendid ISRG Root X1 sertifikaate ilma ristallkirjastamiseta.
Kasutajatel, kes on mures ühilduvuse pärast, on võimalus taotleda alternatiivset sertifikaati, mis on autentitud vana ristkinnitamise skeemi abil, kuid selliseid sertifikaate piirab ka edaspidi ristallkirjastatud juursertifikaadi eluiga (1. september 2021).
Lahendusena Vanematele Android-seadme kasutajatele soovitatakse minna üle Firefoxi brauserile, millel on oma värskendatud juursertifikaatide pood.
Kuid Firefox ei toeta operatsioonisüsteemi Android 4.x (umbes 2% aktiivsetest Android-seadmetest) ja saab töötada ainult operatsioonisüsteemiga Android 5.0 või uuemaga.
Saidiomanikel, kes ei soovi leppida ühilduvusega vanemate Android-telefonidega, soovitatakse vanemate Android-seadmete taotlusi HTTP kaudu töödelda või minna üle vanemate Android-versioonidega ühilduvale CA-le.
Let's Encrypt teatas:
"DST Root X3 juursertifikaat, mille käivitamist usaldame, aegub 1. septembril 2021. Õnneks oleme valmis püsti seisma ja lootma ainult oma juursertifikaadile."
See täielik muutus sertifikaadi Let's Encrypt enda jaoks ei jää tagajärgedeta.
"Mõni tarkvara, mida pole värskendatud alates 2016. aastast (umbes siis, kui paljud juurprogrammid aktsepteerisid meie juurutamist), ei usalda endiselt meie juursertifikaati ISRG Root X1," selgitas Jacob Hoffman-Andrews (Let's Encrypt'i vanemarendaja ja vanemteadur aadressil Electronic Frontier Foundation) teates.
„See hõlmab eelkõige Androidi versioone enne versiooni 7.1.1. See tähendab, et need Androidi vanemad versioonid ei usalda enam Let's Encrypt välja antud sertifikaate ”.
„Android-telefoni sisseehitatud brauseri puhul pärineb usaldusväärsete juursertifikaatide loend operatsioonisüsteemist, mis on nende vanemate telefonide puhul vananenud. Kuid Firefox on brauserite seas praegu ainulaadne: sellega kaasneb oma usaldusväärsete juursertifikaatide loend. Nii et igaüks, kes installib Firefoxi uusima versiooni, saab kasu usaldusväärsete serdiasutuste ajakohastatud loendist, isegi kui nende opsüsteem on aegunud, ”ütles Hoffman-Andrews.
Teade on suunatud ka mõnedele veebisaitide omanikele, kes saavad kasutajatelt kaebusi, et nad saaksid muudatusteks valmistuda. Let's Encrypt julgustab neid rakendama ajutist lahendust (lülituma alternatiivsertifikaatide ahelale), et hoida oma sait töökorras ja hinnata, kui nad hindavad pikaajalise lahenduse jaoks vajalikku.
allikas: https://letsencrypt.org