לפני כמה שבועות אנו משתפים כאן בבלוג את החדשות שנעשה להצפין (רשות אישורים ללא כוונת רווח ושולטת בקהילה המספקת תעודות בחינם לכולם) הזהיר משתמשים מפני שינוי קרוב בייצור החתימות, מה שיגרום לבעיות ובעיקר לאובדן תאימות עם כ- 33% ממכשירי Android הנמצאים בשימוש.
וזאת משום שהיא הודיעה על המעבר ליצירת חתימות באמצעות תעודת הבסיס בלבד, מבלי להשתמש בתעודה שנחתמה על ידי רשות האישורים של IdenTrust.
הוזכר כי החל מ- 11 בינואר 2021 יבוצעו שינויים ב- API של Encrypt וכברירת מחדל, לקוחות ACME יקבלו אישורי ISRG Root X1 ללא חתימה צולבת.
הסוג החדש של אישור השורש Let's Encrypt הוזכר כתואם לכל הדפדפנים המודרניים, אך הוא מוכר רק החל מאנדרואיד 7.1.1, שפורסם בסוף 2016 (אם ברצונכם לדעת יותר על החדשות, תוכלו להתייעץ הפרסום בקישור הבא).
אבל עכשיו, בואו להצפין הודיעה שהתוכנית עודכנה והתאימות למכשירי Android ישנים יותר תימשך לפחות שלוש שנים נוספות.
שינוי ה- API מתוכנן ל -11 בינואר, מה שמרמז על מעבר להנפקת ברירת מחדל של אישורים שאושרו רק על ידי אישור הבסיס ISRG Root X1, ללא חתימה צולבת, הוא נדחה ליוני 2021.
אנו שמחים לבשר שפיתחנו דרך למכשירי אנדרואיד ישנים לשמור על יכולתם לבקר באתרים המשתמשים בתעודות Let's Encrypt לאחר פקיעת המתווכים החתומים שלנו. אנו כבר לא מתכננים שינויים כלשהם בינואר העלולים לגרום לבעיות תאימות למנויים בואו להצפין.
יחד עם זאת, הוחלט כאופציה להציע אפשרות לבקש אישור חלופי, מאושר על פי ערכת האימות הצולבת הישנה ושומר על תאימות למכשירים בחנות אישורי השורש אליהם לא נוסף אישור הצפנה.
תעודה חלופית תיווצר בסוף ינואר או בתחילת פברואר 2021 כחלק מהסכם נוסף עם רשות ההסמכה IdenTrust. בנוסף לתעודת השורש ISRG Root X1 השייכת ל- Let's Encrypt, אישור זה יחתום צולב באמצעות תעודת DST Root CA X3 של IdenTrust.
חתימת הצלב זה יהיה תקף לשלוש שנים, שהיא פחות מתקופת התוקף של אישור הבסיס הראשי ISRG Root X1.
מכיוון שהחתימה הצולבת תפוג לפני החתימה עם תעודת השורש הראשי Let's Encrypt, בעיות דומות לאירוע בתעודת השורש AddTrust המשמשת לאישורי חתימה צולבת מטעם רשות ההסמכה Sectigo (Comodo ).
הדפדפנים טיפלו נכון בתפוגת תוקף תעודת ה- AddTrust, אך היא גרמה לקריסות עצומות במערכות OpenSSL ו- GnuTLS, למרות שתעודת השורש העיקרית של קומודו עדיין הייתה תקפה ושרשרת האמון עם האישור הנוכחי נמשכה.
כדי להבטיח שתעודת ה- Let's Encrypt החדשה לא תיצור בעיות תאימות דומות, בכוונת רשויות האישורים IdenTrust ו- Let's Encrypt לבדוק את התוכנית המיושמת באמצעות מבקרים חיצוניים.
כזכור, תעודת השורש שבבעלות Let's Encrypt תואמת את כל הדפדפנים המודרניים, אך היא מוכרת רק בתור פלטפורמת Android 7.1.1, שפורסמה בסוף 2016. על פי הנתונים הסטטיסטיים הקיימים, רק 66,2% מ כל מכשירי האנדרואיד משתמשים בגרסאות Android 7.1 וגירסאות חדשות יותר.
33,8% ממכשירי Android הנמצאים בשימוש אינם מחזיקים בנתונים מתעודת הבסיס של Let's Encrypt, כלומר, הם זקוקים לאישור חתום נוסף עם אישור שורש התואם לגרסאות קודמות של Android כדי להמשיך לעבוד כהלכה. אם תנסה לפתוח אתרים שנחתמו רק באישור הבסיס להצפין במכשירים אלה, תוצג שגיאה.
לבסוף, אם אתה מעוניין לדעת יותר על כך אתה יכול לבדוק את פרטי החדשות בהערה המקורית אליה תוכל לגשת הקישור הבא.