Let's Encrypt (yhteisön ohjaama voittoa tavoittelematon sertifiointiviranomainen, joka tarjoaa ilmaisia varmenteita kaikille) ilmoitti seuraavasta siirtymästä allekirjoitusten luomiseen vain juurivarmenteesi käyttämättä IdenTrust-varmenteen myöntäjän allekirjoittamaa varmentetta.
Let's Encrypt juurivarmenne Se on yhteensopiva kaikkien nykyaikaisten selainten kanssa, mutta se tunnistetaan vasta Android 7.1.1: stä, joka julkaistiin vuoden 2016 lopulla.
Ongelmana on, että käytettävissä olevien tilastojen mukaan vain 66,2% kaikista Android-laitteista käyttää Android 7.1: tä ja uudempia versioita.
Siksi 33,8%: lla käytössä olevista Android-laitteista ei ole tietoja Let's Encrypt -juurivarmenteessa, ja kun ristiin allekirjoitettu varmenne vanhenee, näytetään virhe, kun yritetään avata sivustoja Let's Encrypt -sertifikaateilla näillä laitteilla. .
Niiden Android-käyttäjien prosenttiosuuden, jotka eivät hyväksy Let's Encrypt -juurivarmentetta, arvioidaan olevan noin 1–5% suurten sivustojen yleisöstä.
Let's Encrypt ei aio tehdä uutta allekirjoitussopimusta, koska tämä asettaa sopimuspuolille suuren lisävastuun, riistää heiltä riippumattomuuden ja sitoo heidän kätensä noudattamaan kaikkia toisen todentamisviranomaisen menettelyjä ja sääntöjä.
Sitä paitsi, jal Ongelma vanhojen Android-laitteiden päivittämisessä Se ei todennäköisesti poistu, ja ristisopimus on uusittava uudestaan ja uudestaan.
Let's Encrypt -sovellusliittymään tehdään muutoksia 11. tammikuuta 2021 ja oletuksena ACME-asiakkaat saavat ISRG Root X1 -sertifikaatit ilman ristiin allekirjoittamista.
Käyttäjillä, jotka ovat huolissaan yhteensopivuudesta, on mahdollisuus pyytää vaihtoehtoista varmentetta, joka on todennettu vanhalla ristivalidointijärjestelmällä, mutta tällaisia varmenteita rajoittaa edelleen ristiin allekirjoitetun juurivarmenteen käyttöikä (1. syyskuuta 2021).
Ratkaisuna Vanhempia Android-laitteen käyttäjiä kehotetaan vaihtamaan Firefox-selaimeen, jolla on oma päivitetty juurivarmentesäilö.
Mutta Firefox ei tue Android 4.x -käyttöjärjestelmää (noin 2% aktiivisista Android-laitteista), ja se voi toimia vain Android 5.0: lla tai uudemmalla.
Sivustojen omistajia, jotka eivät halua hyväksyä yhteensopivuuden menettämistä vanhempien Android-puhelimien kanssa, kehotetaan käsittelemään vanhempien Android-laitteiden pyynnöt HTTP-yhteyden kautta tai vaihtamaan CA: han, joka on yhteensopiva Androidin vanhempien versioiden kanssa.
Näin Encrypt ilmoitti:
"DST Root X3 -varmenteen, jonka luotamme käynnistykseen, voimassaolo päättyy 1. syyskuuta 2021. Onneksi olemme valmiita seisomaan ja luottamaan vain omaan juurivarmenteeseemme."
Tämä täydellinen muutos Let's Encrypt -sertifikaattiin ei kuitenkaan aiheuta seurauksia.
"Jotkut ohjelmistot, joita ei ole päivitetty vuodesta 2016 lähtien (silloin kun juurihyväksynnät otettiin käyttöön monissa juuristo-ohjelmissa) eivät edelleenkään luota juurivarmenteeseemme, ISRG Root X1: ään", selitti Jacob Hoffman-Andrews (Let's Encryptin vanhempi kehittäjä ja vanhempi teknologi Electronic Frontier Foundation) ilmoituksessa.
"Tämä sisältää erityisesti Android-versiot ennen versiota 7.1.1. Tämä tarkoittaa, että nämä vanhemmat Android-versiot eivät enää luota Let's Encryptin myöntämiin varmenteisiin.
"Android-puhelimen sisäänrakennetun selaimen luettelo luotetuista juurivarmenteista tulee käyttöjärjestelmästä, joka on vanhentunut näissä vanhemmissa puhelimissa. Firefox on kuitenkin tällä hetkellä ainutlaatuinen selainten joukossa: sillä on oma luettelo luotetuista juurivarmenteista. Joten kuka tahansa, joka asentaa uusimman Firefox-version, hyötyy päivitetystä luettelosta luotettavista varmenteiden myöntäjistä, vaikka heidän käyttöjärjestelmänsä olisi vanhentunut ”, Hoffman-Andrewsin mukaan.
Ilmoitus on suunnattu myös joillekin verkkosivustojen omistajille, jotka vastaanottavat käyttäjiltä valituksia, jotta he voivat valmistautua muutokseen. Let's Encrypt kannustaa heitä toteuttamaan väliaikaisen ratkaisun (vaihtamaan vaihtoehtoiseen varmenteketjuun) pitääkseen sivustonsa käynnissä samalla kun he arvioivat, mitä he tarvitsevat pitkän aikavälin ratkaisuun.
lähde: https://letsencrypt.org