Let's Encrypt (bendruomenės kontroliuojama ne pelno sertifikavimo institucija, teikianti nemokamus sertifikatus visiems) paskelbė apie kitą perėjimą prie parašų generavimo naudodamas tik savo pagrindinį sertifikatą, nenaudodamas „IdenTrust“ sertifikatų institucijos kryžminiu būdu pasirašyto sertifikato.
Šifruokime šakninį sertifikatą Jis suderinamas su visomis šiuolaikinėmis naršyklėmis, tačiau yra atpažįstamas tik kaip „Android 7.1.1“, išleistas 2016 m. Pabaigoje.
Problema ta, kad, remiantis turima statistika, tik 66,2% visų „Android“ įrenginių naudoja „Android 7.1“ ir naujesnes versijas.
Todėl 33,8% naudojamų „Android“ įrenginių neturi duomenų „Šifruokime“ šakniniame sertifikate, o pasibaigus kryžminio sertifikato galiojimo laikui, bandant atidaryti svetaines naudojant šifravimo sertifikatus tuose įrenginiuose, bus rodoma klaida. .
Apskaičiuota, kad „Android“ naudotojų, nepriimančių „Let Encrypt“ šakninio sertifikato, procentas yra nuo 1 iki 5% didelių svetainių auditorijos.
„Encrypt“ neketina sudaryti naujos kryžminio parašo sutarties, nes tai suteikia didelę papildomą atsakomybę susitarimo šalims, atima iš jų nepriklausomybę ir susieja rankas laikantis visų kitos sertifikavimo institucijos procedūrų ir taisyklių.
Be to, irl Problema atnaujinant senus „Android“ įrenginius Tai tikriausiai niekur nedings, o kryžminis susitarimas turės būti atnaujintas dar ir dar kartą.
Nuo 11 m. Sausio 2021 d. Bus atlikti „Let's Encrypt API“ pakeitimai ir pagal nutylėjimą ACME klientai gaus ISRG Root X1 sertifikatus be kryžminio pasirašymo.
Vartotojai, susirūpinę suderinamumu, turės galimybę paprašyti alternatyvaus sertifikato, patvirtinto naudojant seną kryžminio patvirtinimo schemą, tačiau tokius sertifikatus ir toliau ribos kryžminio pasirašyto šakninio sertifikato galiojimo laikas (1 m. Rugsėjo 2021 d.).
Kaip sprendimą, Vyresniems „Android“ įrenginių vartotojams patariama pereiti prie „Firefox“ naršyklės, kuris turi savo atnaujintą šakninių sertifikatų saugyklą.
Bet „Firefox“ nepalaiko „Android 4.x“ (apie 2% aktyvių „Android“ įrenginių) ir gali veikti tik naudojant „Android 5.0“ arba naujesnę versiją.
Svetainių savininkams, kurie nenori sutikti su suderinamumo su senesniais „Android“ telefonais praradimu, patariama apdoroti užklausas iš senesnių „Android“ įrenginių per HTTP arba perjungti į CA, suderinamą su senesnėmis „Android“ versijomis.
Štai kaip paskelbėme „Let's Encrypt“:
"DST Root X3 šakninis sertifikatas, kurį mes tikime paleisti, baigs galioti 1 m. Rugsėjo 2021 d. Laimei, mes esame pasirengę atsistoti ir pasikliauti tik savo šakniniu sertifikatu."
Tačiau šis visas „Let's Encrypt“ sertifikato pakeitimas nebus be pasekmių.
„Kai kuri programinė įranga, kuri nebuvo atnaujinta nuo 2016 m. (Kai mūsų šaknis buvo priimta daugelyje šakninių programų), vis dar nepasitiki mūsų šakniniu sertifikatu ISRG Root X1“, - paaiškino Jacobas Hoffmanas-Andrewsas („Let's Encrypt“ vyresnysis kūrėjas ir vyresnysis technologas iš Electronic Frontier Foundation) pranešime.
„Tai visų pirma apima„ Android “versijas prieš 7.1.1 versiją. Tai reiškia, kad šios senesnės „Android“ versijos nebepasitikės „Let's Encrypt“ išduotais sertifikatais “.
„„ Android “telefone įmontuotoje naršyklėje patikimų šakninių sertifikatų sąrašas gaunamas iš operacinės sistemos, kuri pasenusi šiuose senesniuose telefonuose. Tačiau „Firefox“ šiuo metu yra unikali tarp naršyklių: ji turi savo patikimų šakninių sertifikatų sąrašą. Taigi kiekvienas, kuris įdiegia naujausią „Firefox“ versiją, gali naudotis naujausiu patikimų sertifikatų institucijų sąrašu, net jei jų operacinė sistema yra pasenusi “, teigia Hoffmanas-Andrewsas.
Pranešimas taip pat skirtas kai kuriems svetainių savininkams, kurie gauna vartotojų skundus, kad jie galėtų pasirengti pokyčiams. „Let's Encrypt“ skatina juos įdiegti laikiną sprendimą (pereiti prie alternatyvios pažymėjimų grandinės), kad svetainė veiktų ir veiktų, kol jie įvertins, ko jiems reikia ilgalaikiam sprendimui.
Fuente: https://letsencrypt.org