Titkosítjuk (egy közösség által ellenőrzött nonprofit tanúsító hatóság, amely ingyenes tanúsítványokat nyújt mindenki számára) bejelentette a következő átállást az aláírások létrehozására csak a gyökértanúsítványt használja, az IdenTrust tanúsító hatóság által keresztaláírt tanúsítvány használata nélkül.
Titkosítsuk a gyökértanúsítványt Kompatibilis az összes modern böngészővel, de csak a 7.1.1 végén kiadott Android 2016-nél ismerik fel.
A probléma az, hogy a rendelkezésre álló statisztikák szerint az összes androidos eszköz csupán 66,2% -a használja az Android 7.1 és újabb verziókat.
Ezért a használatban lévő Android-eszközök 33,8% -ában nincs adat a Let's Encrypt gyökértanúsítványban, és amint a keresztaláírt tanúsítvány lejár, hiba jelenik meg, amikor megpróbáljuk megnyitni a webhelyeket a Let's Encrypt tanúsítványokkal ezeken az eszközökön. .
Becslések szerint az Android-felhasználók aránya, akik nem fogadják el a Let's Encrypt gyökértanúsítványt, a nagy webhelyek közönségének körülbelül 1–5% -a.
A Let's Encrypt nem szándékozik új kereszt-aláírási megállapodást kötni, mivel ez nagy további felelősséget ró a megállapodásban részes felekre, megfosztja őket a függetlenségtől, és összeköti a kezüket egy másik tanúsító hatóság valamennyi eljárásának és szabályának betartásában.
Emellett ésl Probléma a régi Android-eszközök frissítésével valószínűleg nem múlik el, és a keresztmegállapodást újra és újra meg kell újítani.
11. január 2021-től változások történnek a Let's Encrypt API-n és alapértelmezés szerint az ACME-ügyfelek keresztaláírás nélkül megkapják az ISRG Root X1 tanúsítványokat.
A kompatibilitástudatos felhasználóknak lehetőségük lesz alternatív tanúsítványt kérni, amelyet a régi keresztellenőrzési séma segítségével hitelesítettek, de ezeket a tanúsítványokat továbbra is korlátozza a keresztaláírt gyökértanúsítvány élettartama (1. szeptember 2021.).
Megoldásként Az idősebb Android-eszközök felhasználóinak javasoljuk, hogy váltsanak Firefox böngészőre, amelynek saját frissített gyökértanúsítvány-tárolója van.
De a Firefox nem támogatja az Android 4.x-et (az aktív Android-eszközök körülbelül 2% -a), és csak Android 5.0-s vagy újabb rendszereken futtatható.
Azoknak a webhelytulajdonosoknak, akik nem hajlandók elfogadni a régebbi Android-telefonokkal való kompatibilitás elvesztését, javasoljuk, hogy a régebbi Android-eszközökről érkező kérelmeket HTTP-n keresztül dolgozzák fel, vagy váltsanak egy CA-ra, amely kompatibilis az Android régebbi verzióival.
A Titkosítás a következőképpen jelentette be:
"A DST Root X3 gyökértanúsítvány, amelyet megbízunk indításában, 1. szeptember 2021-én lejár. Szerencsére készek vagyunk felállni és kizárólag a saját gyökértanúsítványunkra hagyatkozni."
Maga a Let's Encrypt tanúsítvány teljes módosítása azonban nem lesz következmények nélküli.
"Néhány olyan szoftver, amelyet 2016 óta nem frissítettek (körülbelül akkor, amikor a rootunkat sok root program elfogadta), még mindig nem bízik az ISRG Root X1 gyökértanúsítványunkban" - magyarázta Jacob Hoffman-Andrews (a Let's Encrypt vezető fejlesztője és a Electronic Frontier Foundation) közleményben.
„Ez magában foglalja különösen az Android 7.1.1-es verzió előtti verzióit. Ez azt jelenti, hogy az Android ezen régebbi verziói már nem fognak megbízni a Let's Encrypt által kiadott tanúsítványokban ”.
„Az androidos telefon beépített böngészője esetében a megbízható gyökértanúsítványok listája az operációs rendszerből származik, amely elavult ezeken a régebbi telefonokon. A Firefox azonban jelenleg egyedülálló a böngészők körében: saját megbízható gyökértanúsítványok listájával rendelkezik. Tehát bárki, aki a Firefox legújabb verzióját telepíti, profitálhat a megbízható tanúsító hatóságok naprakész listájából, még akkor is, ha operációs rendszere elavult. ”- állítja Hoffman-Andrews.
A közlemény néhány weboldal tulajdonosának is címzett, akik panaszokat kapnak a felhasználóktól, hogy fel tudjanak készülni a változásra. A Let's Encrypt arra ösztönzi őket, hogy alkalmazzanak egy átmeneti megoldást (váltson át az alternatív tanúsítványláncra), hogy a webhely folyamatosan működőképes maradjon, miközben felmérik, hogy mire van szükségük egy hosszú távú megoldáshoz.
forrás: https://letsencrypt.org