Muutama viikko sitten jaamme täällä blogissa uutiset, jotka salataan (voittoa tavoittelematon, yhteisön valvoma sertifiointiviranomainen, joka tarjoaa todistuksia ilmaiseksi kaikille) varoitti käyttäjiä välittömästä muutoksesta allekirjoituksen luomisessa, mikä aiheuttaisi ongelmia ja ennen kaikkea yhteensopivuuden menetystä noin 33 prosentin käytössä olevien Android-laitteiden kanssa.
Ja tämä johtui siitä, että se ilmoitti siirtymästä allekirjoitusten luomiseen vain juurivarmenteensa käyttämättä IdenTrust-varmenteen myöntäjän allekirjoittamaa varmentetta.
Mainittiin, että Let's Encrypt -sovellusliittymään tehdään muutoksia 11. tammikuuta 2021 ja oletuksena ACME-asiakkaat saavat ISRG Root X1 -sertifikaatit ilman ristiin allekirjoittamista.
Uuden tyyppisen Let's Encrypt -juurivarmenteen sanottiin olevan yhteensopiva kaikkien nykyaikaisten selainten kanssa, mutta se tunnustetaan vasta Android 7.1.1: stä, joka julkaistiin vuoden 2016 lopussa (jos haluat tietää enemmän uutisista, voit ottaa yhteyttä julkaisu Seuraavassa linkissä).
Mutta nyt, Let's Encrypt ilmoitti, että suunnitelmaa on tarkistettu ja yhteensopivuus vanhempien Android-laitteiden kanssa jatkuu vielä vähintään kolme vuotta.
API-muutos suunniteltu tammikuun 11. päivään, mikä tarkoittaa siirtymistä vain ISRG Root X1 -todistussertifikaatin varmentamien sertifikaattien oletusarvoiseen myöntämiseen ilman ristikirjoitusta, on lykätty kesäkuuhun 2021.
Meillä on ilo ilmoittaa, että olemme kehittäneet tavan vanhemmille Android-laitteille säilyttää kykynsä vierailla Let's Encrypt -sertifikaatteja käyttävillä sivustoilla ristiin allekirjoitettujen välittäjien voimassaolon päättymisen jälkeen. Emme enää suunnittele mitään muutoksia tammikuussa, jotka voivat aiheuttaa yhteensopivuusongelmia Let's Encrypt -tilaajille.
Samalla vaihtoehtona päätettiin tarjota mahdollisuus pyytää vaihtoehtoinen todistus, sertifioitu vanhan ristivalidointijärjestelmän mukaisesti ja säilyttäen yhteensopivuuden laitteiden kanssa juurivarmentesäilössä, johon Let's Encrypt -varmennetta ei ole lisätty.
Vaihtoehtoinen varmenne luodaan tammikuun lopulla tai helmikuun alussa 2021 osana lisäsopimusta IdenTrust-sertifiointiviranomaisen kanssa. Let's Encrypt -palveluun kuuluvan ISRG Root X1 -juurivarmenteen lisäksi tämä varmenne allekirjoitetaan ristiin käyttämällä IdenTrustin DST Root CA X3 -sertifikaattia.
Risti allekirjoitus on voimassa kolme vuotta, joka on lyhyempi kuin ensisijaisen juurivarmenteen voimassaoloaika ISRG Root X1.
Koska ristin allekirjoitus vanhenee ennen allekirjoitusta Let's Encrypt -pääsertifikaatilla, ongelmat, jotka ovat samanlaisia kuin AddTrust-juurivarmenteessa, jota käytetään Sectigo Certification Authorityn (Comodo) varmenteiden ristiin allekirjoittamiseen.
Selaimet käsittelivät oikein AddTrust-ristivarmenteen vanhentumisen, mutta se aiheutti massiivisia kaatumisia OpenSSL- ja GnuTLS-järjestelmissä, vaikka Comodon pääjuurivarmenteiden voimassaolo oli edelleen voimassa ja nykyisen varmenteen luottamusketju jatkui.
Sen varmistamiseksi, että uusi Let's Encrypt -sertifikaatti ei aiheuta samanlaisia yhteensopivuusongelmia, IdenTrust- ja Let's Encrypt -sertifikaattiviranomaiset aikovat tarkistaa toteutetun järjestelmän ulkoisten tarkastajien avulla.
Muistutetaan, että Let's Encryptin omistama juurivarmenne on yhteensopiva kaikkien nykyaikaisten selainten kanssa, mutta se tunnustetaan vain Android 7.1.1 -alustaksi, joka julkaistiin vuoden 2016 lopussa. Saatavilla olevien tilastojen mukaan vain 66,2% kaikista Android-laitteet käyttävät Android 7.1: tä ja uudempia versioita.
33,8 prosentilla käytössä olevista Android-laitteista ei ole tietoja Let's Encrypt -juurivarmenteesta, toisin sanoen he tarvitsevat lisäksi allekirjoitetun varmenteen, jossa on juurivarmenteita, jotka ovat yhteensopivia Androidin aiempien versioiden kanssa, jotta ne toimisivat oikein. Jos yrität avata sivustoja, jotka on allekirjoitettu vain Let's Encrypt -juurivarmenteella näissä laitteissa, näyttöön tulee virhe.
lopuksi, jos olet kiinnostunut tietämään siitä lisää Voit tarkistaa uutisten tiedot alkuperäisestä muistiinpanosta, johon pääset seuraava linkki.