Paar nädalat tagasi jagame siin blogis uudist, et krüpteerime (mittetulunduslik, kogukonna kontrollitav sertifitseerimisasutus, mis annab sertifikaate kõigile tasuta) hoiatas kasutajaid allkirja genereerimise peatsete muudatuste eest, mis tekitaks probleeme ja eriti kaotaks ühilduvuse umbes 33% kasutatavate Android-seadmetega.
Ja selle põhjuseks oli asjaolu, et ta reklaamis üleminekut allkirjade genereerimisele, kasutades ainult juursertifikaati, ilma IdenTrusti sertifikaadi asutuse poolt allkirjastatud sertifikaati kasutamata.
Mainiti, et alates 11. jaanuarist 2021 tehakse Let's Encrypt API-s muudatusi ja vaikimisi saavad ACME kliendid ISRG Root X1 sertifikaate ilma ristallkirjastamiseta.
Uut tüüpi Let's Encrypt juursertifikaati mainiti ühilduvana kõigi tänapäevaste brauseritega, kuid seda tunnustatakse ainult Android 7.1.1 versioonina, mis ilmus 2016. aasta lõpus (kui soovite uudistest rohkem teada saada, võite pöörduda väljaanne Järgmisel lingil).
Aga nüüd, Let's Encrypt teatas, et kava on muudetud ja see ühilduvus vanemate Android-seadmetega jätkub veel vähemalt kolm aastat.
API muutus kavandatud 11. jaanuariks, mis tähendab üleminekut ainult juursertifikaadi ISRG Root X1 poolt kinnitatud sertifikaatide vaikimisi väljaandmisele ilma ristallkirjata, on edasi lükatud 2021. aasta juunisse.
Meil on hea meel teatada, et oleme välja töötanud viisi vanematele Android-seadmetele, et nad saaksid pärast ristiallkirjastatud maaklerite kehtivusaja lõppu külastada saite, mis kasutavad Let's Encrypt sertifikaate. Me ei plaani enam jaanuaris muudatusi, mis võivad Let's Encrypt tellijatele ühilduvusprobleeme põhjustada.
Samal ajal otsustati pakkuda võimalust alternatiivse sertifikaadi taotlemiseks, mis on sertifitseeritud vastavalt vana ristkinnitamise skeemile ja säilitades ühilduvuse juursertifikaatide poe seadmetega, millele pole lisatud krüpteeritud sertifikaati.
Alternatiivne sertifikaat luuakse jaanuari lõpus või veebruari alguses 2021. aastal osana IdenTrusti sertifitseerimisasutusega sõlmitud lisalepingust. Lisaks ettevõttele Let's Encrypt kuuluvale ISRG Root X1 juursertifikaadile allkirjastatakse see sertifikaat ka IdenTrusti DST Root CA X3 sertifikaadiga.
Ristallkiri see kehtib kolm aastat, mis on lühem kui esmase juursertifikaadi ISRG juur X1 kehtivusaeg.
Kuna ristallkiri aegub enne allkirjastamist peamise krüptimise juurturvasertifikaadiga, on võimalik, et probleemid, mis on sarnased Sectigo sertifikaadi asutuse (Comodo ).
Brauserid käsitsesid AddTrusti ristsertifikaadi aegumist õigesti, kuid see põhjustas ulatuslikke krahhe OpenSSL- ja GnuTLS-süsteemides, kuigi Comodo peamine juursertifikaat oli endiselt kehtiv ja praeguse sertifikaadiga usalduse ahel püsis.
Selle tagamiseks, et uus Let's Encrypt sertifikaat ei tekitaks sarnaseid ühilduvusprobleeme, kavatsevad IdenTrust ja Let's Encrypt sertifikaadi väljaandjad rakendatud skeemi väliste audiitorite abil üle vaadata.
Tuletame meelde, et Let's Encryptile kuuluv juursertifikaat ühildub kõigi tänapäevaste brauseritega, kuid seda tunnustatakse ainult 7.1.1. aasta lõpus välja antud Android 2016 platvormina. Olemasoleva statistika kohaselt on ainult 66,2% Kõik Android-seadmed kasutavad Android 7.1 ja uuemaid versioone.
33,8% kasutatavatest Android-seadmetest pole andmeid juurkoodist Krüpteerime, see tähendab, et õigesti töötamiseks on vaja täiendavalt allkirjastatud sertifikaati, millel on Androidi varasemate versioonidega ühilduv juursertifikaat. Kui proovite nendes seadmetes avada saidid, mis on allkirjastatud ainult krüptimise juurte sertifikaadiga, kuvatakse tõrge.
Lõpuks kui olete huvitatud sellest rohkem teada saama Uudiste üksikasju saate vaadata originaalses märkuses, millele saate juurde pääseda järgmine link.