暗号化しよう (すべての人に無料の証明書を提供する、コミュニティが管理する非営利の認証機関) 署名を生成するための次の移行を発表しました IdenTrust証明書機関によって相互署名された証明書を使用せずに、ルート証明書のみを使用します。
ルート証明書を暗号化しましょう 最新のすべてのブラウザと互換性がありますが、7.1.1年後半にリリースされたAndroid2016でのみ認識されます。
問題は、入手可能な統計によれば、 すべてのAndroidデバイスの66,2%のみがAndroid7.1以降のバージョンを使用しています.
したがって、使用中のAndroidデバイスの33,8%は、Let's Encryptルート証明書にデータがなく、相互署名された証明書の有効期限が切れると、それらのデバイスでLet'sEncrypt証明書を使用してサイトを開こうとするとエラーが表示されます。 。
Let's Encryptのルート証明書を受け入れないAndroidユーザーの割合は、大規模なサイトの視聴者の約1%から5%と推定されています。
Let's Encryptは、新しいクロスシグニチャ契約を締結することを意図していません。 これは、契約の当事者に大きな追加の責任を課すため、当事者の独立性を奪い、別の認証機関のすべての手順と規則を遵守することに手を結びます。
その上、そしてl古いAndroidデバイスの更新に関する問題 それはおそらくなくなることはなく、相互合意は何度も何度も更新する必要があります。
11年2021月XNUMX日より、Let's EncryptAPIに変更が加えられます。 デフォルトでは、ACMEのお客様は、相互署名なしでISRGルートX1証明書を受け取ります。
互換性を重視するユーザーは、古い相互検証スキームを使用して認証された代替証明書を要求する機会がありますが、そのような証明書は、相互署名されたルート証明書の有効期間(1年2021月XNUMX日)によって引き続き制限されます。
解決策として、 古いAndroidデバイスのユーザーは、Firefoxブラウザに切り替えることをお勧めします。 独自の更新されたルート証明書ストアがあります。
ただし、FirefoxはAndroid 4.x(アクティブなAndroidデバイスの約2%)をサポートしておらず、Android5.0以降でのみ実行できます。
古いAndroid電話との互換性の喪失を受け入れたくないサイト所有者は、HTTPを介して古いAndroidデバイスからの要求を処理するか、古いバージョンのAndroidと互換性のあるCAに切り替えることをお勧めします。
Let'sEncryptが発表された方法は次のとおりです。
「起動を信頼するDSTルートX3ルート証明書は1年2021月XNUMX日に期限切れになります。幸い、私たちは立ち上がって、独自のルート証明書のみに依存する準備ができています。」
ただし、Let's Encrypt証明書自体に対するこの完全な変更は、結果がないわけではありません。
「2016年以降(ルートが多くのルートプログラムに受け入れられた頃)更新されていないソフトウェアの中には、ルート証明書であるISRG RootX1を信頼していないものがあります」とJacobHoffman-Andrews(Let's Encryptの上級開発者およびElectronic Frontier Foundation)の通知。
「これには、バージョン7.1.1より前の特定のバージョンのAndroidが含まれます。 これは、これらの古いバージョンのAndroidは、Let'sEncryptによって発行された証明書を信頼しなくなることを意味します。
「Android電話の組み込みブラウザの場合、信頼されたルート証明書のリストはオペレーティングシステムから取得されますが、これらの古い電話では廃止されています。 ただし、Firefoxは現在、ブラウザ間で一意です。信頼できるルート証明書の独自のリストが付属しています。 そのため、Firefoxの最新バージョンをインストールする人は誰でも、オペレーティングシステムが古くなっていても、信頼できる証明書機関の最新リストの恩恵を受けることができます」とHoffman-Andrews氏は述べています。
この通知は、変更に備えるためにユーザーから苦情を受けた一部のWebサイト所有者にも送信されます。 Let's Encryptは、長期的なソリューションに必要なものを評価している間、サイトを稼働させ続けるための暫定的なソリューション(代替の証明書チェーンに切り替える)を実装することを推奨しています。