Prije nekoliko tjedana ovdje na blogu dijelimo vijest da Let's Encrypt (neprofitno tijelo za ovjeru pod nadzorom zajednice koje svima pruža certifikate besplatno) upozorio korisnike na skoru promjenu u generiranju potpisa, što bi uzrokovalo probleme i nadasve gubitak kompatibilnosti s približno 33% Android uređaja u upotrebi.
A to je bilo zato što je oglašavao prijelaz na generiranje potpisa koristeći samo svoj korijenski certifikat, bez upotrebe certifikata koji je križno potpisalo tijelo za izdavanje certifikata IdenTrust.
Spomenuto je da će se od 11. siječnja 2021. izvršiti promjene u API-ju Let's Encrypt a prema zadanim postavkama kupci ACME-a dobit će ISRG Root X1 certifikate bez križnog potpisivanja.
Spomenuta je nova vrsta Let's Encrypt root certifikata koja je kompatibilna sa svim modernim preglednicima, ali prepoznaje se tek kao Android 7.1.1, objavljen krajem 2016. (ako želite saznati više o vijestima, možete se posavjetovati publikacija U sljedećem linku).
Ali sad, Let's Encrypt najavili su da je plan revidiran a ta će se kompatibilnost sa starijim Android uređajima nastaviti još najmanje tri godine.
Promjena API-ja zakazan za 11. siječnja, što podrazumijeva prijelaz na zadano izdavanje certifikata ovjerenih samo korijenskim certifikatom ISRG Root X1, bez unakrsnog potpisa, odgođeno je za lipanj 2021.
Drago nam je objaviti da smo razvili način za starije Android uređaje da zadrže sposobnost posjećivanja web lokacija koje koriste certifikate Let's Encrypt nakon isteka naših međusobno potpisanih brokera. U siječnju više ne planiramo promjene koje bi mogle uzrokovati probleme s kompatibilnošću pretplatnika Let's Encrypt.
U isto vrijeme, odlučeno je kao mogućnost da se ponudi mogućnost traženja alternativnog certifikata, certificiran prema staroj shemi unakrsne provjere valjanosti i zadržavajući kompatibilnost s uređajima u spremištu korijenskih certifikata kojima nije dodan certifikat Let's Encrypt.
Alternativni certifikat generirat će se krajem siječnja ili početkom veljače 2021. godine kao dio dodatnog sporazuma s tijelom za ovjeru IdenTrust. Uz korijenski certifikat ISRG Root X1 koji pripada Let's Encrypt, ovaj će certifikat biti unakrsno potpisan pomoću IdenTrust-ovog DST Root CA X3 certifikata.
Križni potpis vrijedit će tri godine, što je manje od razdoblja valjanosti primarnog korijenskog certifikata ISRG Root X1.
Budući da će unakrsno potpisivanje isteći prije potpisa s glavnim korijenskim certifikatom Let's Encrypt, problemi slični incidentu s korijenskim certifikatom AddTrust koji se koristi za certifikate za križno potpisivanje od Sectigo Certification Authority (Comodo ).
Preglednici su ispravno postupili s istekom isteka certifikata AddTrust, ali izazvao je masovne padove na sustavima OpenSSL i GnuTLS, iako je glavni korijenski certifikat Comoda još uvijek bio valjan i lanac povjerenja s trenutnim certifikatom je i dalje postojao.
Kako bi osigurali da novi certifikat Let's Encrypt ne stvara slične probleme s kompatibilnošću, tijela za izdavanje certifikata IdenTrust i Let's Encrypt namjeravaju pregledati implementiranu shemu pomoću vanjskih revizora.
Podsjećanja radi, korijenski certifikat u vlasništvu Let's Encrypt kompatibilan je sa svim modernim preglednicima, ali prepoznat je tek kao platforma Android 7.1.1, objavljena krajem 2016. Prema dostupnim statistikama, samo 66,2% Svi Android uređaji koriste Android 7.1 i novije verzije.
33,8% Android uređaja u upotrebi nema podatke iz šifriranog korijenskog certifikata, odnosno za daljnji ispravan rad trebaju dodatno potpisani certifikat s korijenskim certifikatom kompatibilnim s prethodnim verzijama Androida. Ako na tim uređajima pokušate otvoriti web stranice potpisane samo korijenskim certifikatom Let's Encrypt, prikazat će se pogreška.
Konačno, ako vas zanima više o tome Pojedinosti vijesti možete provjeriti u izvornoj bilješci kojoj možete pristupiti sljedeći link.