Alcune settimane fa condividiamo qui sul blog la notizia che Let's Encrypt (un'autorità di certificazione senza scopo di lucro controllata dalla comunità che fornisce certificati gratuitamente a tutti) ha avvertito gli utenti di un imminente cambiamento nella generazione della firma, il che causerebbe problemi e soprattutto perdita di compatibilità con circa il 33% dei dispositivi Android in uso.
E questo perché annunciava la transizione alla generazione di firme utilizzando solo il suo certificato di origine, senza utilizzare un certificato con firma incrociata dall'autorità di certificazione IdenTrust.
È stato detto che a partire dall'11 gennaio 2021, verranno apportate modifiche all'API Let's Encrypt e per impostazione predefinita, i clienti ACME riceveranno i certificati ISRG Root X1 senza firma incrociata.
Il nuovo tipo di certificato root Let's Encrypt è stato menzionato per essere compatibile con tutti i browser moderni, ma è riconosciuto solo a partire da Android 7.1.1, rilasciato alla fine del 2016 (se vuoi saperne di più sulle novità, puoi consultare la pubblicazione Nel seguente collegamento).
Ma ora, Let's Encrypt ha annunciato che il piano è stato rivisto e quella compatibilità con i vecchi dispositivi Android continuerà per almeno altri tre anni.
Il cambio di API prevista per l'11 gennaio, che implica un passaggio all'emissione di default dei certificati certificati solo dal certificato radice ISRG Root X1, senza firma incrociata, è stato posticipato a giugno 2021.
Siamo lieti di annunciare che abbiamo sviluppato un modo per i dispositivi Android meno recenti di mantenere la loro capacità di visitare i siti che utilizzano i certificati Let's Encrypt dopo la scadenza dei nostri broker con firma incrociata. Non pianifichiamo più modifiche a gennaio che potrebbero causare problemi di compatibilità per gli abbonati a Let's Encrypt.
Allo stesso tempo, si è deciso come opzione di offrire la possibilità di richiedere un certificato alternativo, certificato secondo il vecchio schema di convalida incrociata e mantenendo la compatibilità con i dispositivi nell'archivio certificati radice a cui non è stato aggiunto il certificato Let's Encrypt.
Un certificato alternativo verrà generato alla fine di gennaio o all'inizio di febbraio 2021 come parte di un accordo aggiuntivo con l'autorità di certificazione IdenTrust. Oltre al certificato radice ISRG Root X1 appartenente a Let's Encrypt, questo certificato verrà firmato in modo incrociato utilizzando il certificato DST Root CA X3 di IdenTrust.
La firma della croce sarà valido per tre anni, che è inferiore al periodo di validità del certificato radice primario ISRG Root X1.
Poiché la firma incrociata scadrà prima della firma con il certificato radice Let's Encrypt principale, problemi simili all'incidente con il certificato radice AddTrust utilizzato per i certificati di firma incrociata dall'autorità di certificazione Sectigo (Comodo ).
I browser hanno gestito correttamente la scadenza del certificato incrociato AddTrust, ma ha causato enormi arresti anomali sui sistemi OpenSSL e GnuTLS, anche se il certificato radice principale di Comodo era ancora valido e la catena di fiducia con il certificato corrente persisteva.
Per garantire che il nuovo certificato Let's Encrypt non crei problemi di compatibilità simili, le autorità di certificazione IdenTrust e Let's Encrypt intendono rivedere lo schema implementato utilizzando revisori esterni.
Come promemoria, il certificato radice di proprietà di Let's Encrypt è compatibile con tutti i browser moderni, ma è riconosciuto solo dalla piattaforma Android 7.1.1, rilasciata alla fine del 2016. Secondo le statistiche disponibili, solo il 66,2% di Tutti i dispositivi Android utilizzano Android 7.1 e versioni successive.
Il 33,8% dei dispositivi Android in uso non dispone di dati dal certificato radice Let's Encrypt, ovvero richiede un certificato firmato aggiuntivo con un certificato radice compatibile con le versioni precedenti di Android per continuare a funzionare correttamente. Se provi ad aprire siti firmati solo con il certificato radice Let's Encrypt su quei dispositivi, verrà visualizzato un errore.
Infine, se sei interessato a saperne di più Puoi controllare i dettagli delle notizie nella nota originale a cui puoi accedere il seguente collegamento.