数週間前 Let'sEncryptというニュースをブログで共有します (すべての人に無料で証明書を提供する、非営利のコミュニティ管理の認証機関) 署名生成の差し迫った変更についてユーザーに警告し、 これは問題を引き起こし、とりわけ使用中のAndroidデバイスの約33%との互換性を失います。
これは、IdenTrust証明書機関によって相互署名された証明書を使用せずに、ルート証明書のみを使用して署名を生成することへの移行を発表していたためです。
11年2021月XNUMX日より、Let's EncryptAPIに変更が加えられるとのことでした。 デフォルトでは、ACMEのお客様は、相互署名なしでISRGルートX1証明書を受け取ります。
新しいタイプのLet'sEncryptルート証明書は、最新のすべてのブラウザーと互換性があると言われていましたが、7.1.1年末にリリースされたAndroid 2016でのみ認識されます(ニュースについて詳しく知りたい場合は、出版物 次のリンクで).
しかし今 Let's Encryptは、計画が改訂されたことを発表しました 古いAndroidデバイスとの互換性は、少なくともあとXNUMX年間は続きます。
APIの変更 11月1日に予定されています。これは、相互署名なしで、ルート証明書ISRGルートXXNUMXによってのみ認証された証明書のデフォルト発行への移行を意味します。 2021年XNUMX月に延期されました。
クロスサインされたブローカーの有効期限が切れた後も、古いAndroidデバイスがLet'sEncrypt証明書を使用するサイトにアクセスする機能を維持する方法を開発したことをお知らせします。 Let'sEncryptサブスクライバーの互換性の問題を引き起こす可能性のある変更をXNUMX月に予定していません。
同時に、 代替証明書を要求する可能性を提供するオプションとして決定されました、古い相互検証スキームに従って認定され、Let'sEncrypt証明書が追加されていないルート証明書ストア内のデバイスとの互換性を維持します。
代替証明書は2021年XNUMX月下旬またはXNUMX月上旬に生成されます IdenTrust認証機関との追加契約の一部として。 Let's Encryptに属するISRGルートX1ルート証明書に加えて、この証明書はIdenTrustのDSTルートCAX3証明書を使用して相互署名されます。
クロスシグネチャー XNUMX年間有効です。 これは、プライマリルート証明書ISRGルートX1の有効期間よりも短いです。
相互署名は、メインのLet's Encryptルート証明書による署名の前に期限切れになるため、Sectigo認証機関(Comodo)からの証明書の相互署名に使用されるAddTrustルート証明書のインシデントと同様の問題が発生します。 )。
ブラウザは、AddTrustクロス証明書の有効期限を正しく処理しました。 しかし、Comodoのメインルート証明書がまだ有効であり、現在の証明書との信頼の連鎖が持続しているにもかかわらず、OpenSSLおよびGnuTLSシステムで大規模なクラッシュが発生しました。
新しいLet'sEncrypt証明書が同様の互換性の問題を引き起こさないようにするために、IdenTrustおよびLet's Encrypt証明書当局は、外部監査人を使用して実装されたスキームを確認する予定です。
Let's Encryptが所有するルート証明書はすべての最新のブラウザーと互換性がありますが、7.1.1年末にリリースされたAndroid 2016プラットフォームでのみ認識されます。入手可能な統計によると、すべてのAndroidデバイスはAndroid66,2以降のバージョンを使用します。
使用中のAndroidデバイスの33,8%は、Let's Encryptルート証明書からのデータを持っていません。つまり、正しく機能し続けるには、以前のバージョンのAndroidと互換性のあるルート証明書を持つ追加の署名付き証明書が必要です。 これらのデバイスでLet'sEncryptルート証明書のみで署名されたサイトを開こうとすると、エラーが表示されます。
最後に、 あなたがそれについてもっと知りたいのなら ニュースの詳細は、次のURLでアクセスできる元のメモで確認できます。 次のリンク。