몇 주 전 여기 블로그에서 Let 's Encrypt라는 뉴스를 공유합니다. (모든 사람에게 무료로 인증서를 제공하는 비영리 커뮤니티 제어 인증 기관) 사용자에게 서명 생성의 임박한 변경에 대해 경고했습니다. 이로 인해 문제가 발생하고 무엇보다도 사용중인 Android 기기의 약 33 %와의 호환성이 손실됩니다.
이는 IdenTrust 인증 기관에서 교차 서명 한 인증서를 사용하지 않고 루트 인증서 만 사용하여 서명을 생성하는 전환을 발표했기 때문입니다.
11 년 2021 월 XNUMX 일부로 Let 's Encrypt API가 변경된다고 언급되었습니다. 기본적으로 ACME 고객은 교차 서명없이 ISRG Root X1 인증서를 받게됩니다.
새로운 유형의 Let 's Encrypt 루트 인증서는 모든 최신 브라우저와 호환된다고 언급되었지만 7.1.1 년 말에 출시 된 Android 2016에서만 인식됩니다 (뉴스에 대해 자세히 알고 싶다면 문의 할 수 있습니다. 출판 다음 링크에서).
그러나 지금 Let 's Encrypt는 계획이 수정되었다고 발표했습니다. 이전 Android 기기와의 호환성은 최소 XNUMX 년 이상 계속됩니다.
API 변경 교차 서명없이 루트 인증서 ISRG Root X11에 의해서만 인증 된 인증서의 기본 발급으로의 전환을 의미하는 1 월 XNUMX 일로 예정되어 있습니다. 2021 년 XNUMX 월로 연기되었습니다.
교차 서명 된 브로커가 만료 된 후에도 구형 Android 장치가 Let 's Encrypt 인증서를 사용하는 사이트를 방문 할 수있는 기능을 유지할 수있는 방법을 개발했음을 발표하게되어 기쁘게 생각합니다. Let 's Encrypt 구독자에게 호환성 문제를 일으킬 수있는 XNUMX 월에 더 이상 변경 사항을 계획하지 않습니다.
동시에, 대체 인증서 요청 가능성을 제공하는 옵션으로 결정되었습니다., 이전 교차 유효성 검사 체계에 따라 인증되고 Let 's Encrypt 인증서가 추가되지 않은 루트 인증서 저장소의 장치와의 호환성을 유지합니다.
대체 인증서는 2021 년 XNUMX 월 말 또는 XNUMX 월 초에 생성됩니다. IdenTrust 인증 기관과의 추가 계약의 일부로. Let 's Encrypt에 속한 ISRG Root X1 루트 인증서 외에도이 인증서는 IdenTrust의 DST 루트 CA X3 인증서를 사용하여 교차 서명됩니다.
교차 서명 XNUMX 년 동안 유효합니다. 기본 루트 인증서 ISRG Root X1의 유효 기간보다 짧습니다.
교차 서명은 기본 Let 's Encrypt 루트 인증서로 서명하기 전에 만료되기 때문에 Sectigo 인증 기관 (Comodo)의 교차 서명 인증서에 사용되는 AddTrust 루트 인증서 문제와 유사한 문제가 발생합니다. ).
브라우저는 AddTrust 교차 인증서 만료를 올바르게 처리했습니다. 그러나 Comodo의 기본 루트 인증서가 여전히 유효하고 현재 인증서와의 신뢰 체인이 유지 되었음에도 불구하고 OpenSSL 및 GnuTLS 시스템에서 대규모 충돌을 일으켰습니다.
새로운 Let 's Encrypt 인증서가 유사한 호환성 문제를 일으키지 않도록하기 위해 IdenTrust 및 Let 's Encrypt 인증 기관은 외부 감사자를 사용하여 구현 된 체계를 검토하려고합니다.
참고로 Let 's Encrypt가 소유 한 루트 인증서는 모든 최신 브라우저와 호환되지만 7.1.1 년 말에 출시 된 Android 2016 플랫폼에서만 인식됩니다. 사용 가능한 통계에 따르면 모든 Android 기기는 Android 66,2 이상 버전을 사용합니다.
사용중인 Android 장치의 33,8 %는 Let 's Encrypt 루트 인증서의 데이터가 없습니다. 즉, 계속 올바르게 작동하려면 이전 버전의 Android와 호환되는 루트 인증서가있는 추가 서명 인증서가 필요합니다. 해당 장치에서 Let 's Encrypt 루트 인증서로만 서명 된 사이트를 열려고하면 오류가 표시됩니다.
마지막으로, 그것에 대해 더 많이 알고 싶다면 당신은 당신이 액세스 할 수있는 원본 노트에서 뉴스의 세부 사항을 확인할 수 있습니다 다음 링크.