Pirms dažām nedēļām mēs šeit emuārā dalāmies ar ziņām, kuras šifrēsim (bezpeļņas, kopienas kontrolēta sertifikācijas iestāde, kas sertifikātus nodrošina bez maksas visiem) brīdināja lietotājus par nenovēršamām izmaiņām parakstu ģenerēšanā, kas radītu problēmas un jo īpaši zaudētu saderību ar aptuveni 33% izmantoto Android ierīču.
Tas notika tāpēc, ka tas reklamēja pāreju uz parakstu ģenerēšanu, izmantojot tikai savu saknes sertifikātu, neizmantojot IdenTrust sertifikātu iestādes savstarpēji parakstītu sertifikātu.
Tika minēts, ka no 11. gada 2021. janvāra tiks veiktas izmaiņas Let's Encrypt API un pēc noklusējuma ACME klienti saņems ISRG Root X1 sertifikātus bez savstarpējas parakstīšanas.
Tika minēts, ka jaunā veida šifrēšanas saknes sertifikāts ir saderīgs ar visām mūsdienu pārlūkprogrammām, taču tas tiek atpazīts tikai kā Android 7.1.1, kas izlaists 2016. gada beigās (ja vēlaties uzzināt vairāk par jaunumiem, varat konsultēties publikāciju Šajā saitē).
Bet tagad, Let's Encrypt paziņoja, ka plāns ir pārskatīts un šī saderība ar vecākām Android ierīcēm turpināsies vēl vismaz trīs gadus.
API maiņa plānots 11. janvārī, kas nozīmē pāreju uz tādu sertifikātu noklusējuma izsniegšanu, kurus apliecina tikai saknes sertifikāts ISRG Root X1, bez paraksta, ir atlikta uz 2021. gada jūniju.
Mēs esam priecīgi paziņot, ka esam izstrādājuši veidu, kā vecākas Android ierīces saglabā iespēju apmeklēt vietnes, kurās tiek izmantoti sertifikāti Let's Encrypt, kad beidzas mūsu savstarpēji parakstīto brokeru darbības laiks. Mēs janvārī vairs neplānojam nekādas izmaiņas, kas varētu radīt saderības problēmas abonentiem Encrypt.
Tajā pašā laikā tika nolemts piedāvāt iespēju pieprasīt alternatīvu sertifikātu, kas sertificēts saskaņā ar veco savstarpējās validācijas shēmu un saglabājot saderību ar ierīcēm sakņu sertifikātu krātuvē, kurām sertifikāts Let's Encrypt nav pievienots.
Alternatīvs sertifikāts tiks ģenerēts 2021. gada janvāra beigās vai februāra sākumā kā daļu no papildu līguma ar IdenTrust sertifikācijas iestādi. Papildus ISRG Root X1 saknes sertifikātam, kas pieder Let's Encrypt, šis sertifikāts tiks savstarpēji parakstīts, izmantojot IdenTrust DST Root CA X3 sertifikātu.
Krustveida paraksts būs derīga trīs gadus, kas ir mazāks par primārā saknes sertifikāta ISRG saknes X1 derīguma termiņu.
Tā kā savstarpējā paraksta derīguma termiņš beigsies pirms paraksta ar galveno Let Encrypt saknes sertifikātu, problēmas, kas līdzīgas gadījumam ar AddTrust saknes sertifikātu, ko izmanto Sectigo sertifikāta iestādes (Comodo) sertifikātu savstarpējai parakstīšanai.
Pārlūkprogrammas pareizi apstrādāja AddTrust savstarpējā sertifikāta derīguma termiņu, taču tas izraisīja milzīgas avārijas OpenSSL un GnuTLS sistēmās, kaut arī Comodo galvenais saknes sertifikāts joprojām bija derīgs un uzticības ķēde ar pašreizējo sertifikātu saglabājās.
Lai nodrošinātu, ka jaunais Let's Encrypt sertifikāts nerada līdzīgas saderības problēmas, IdenTrust un Let's Encrypt sertifikātu iestādes plāno pārskatīt ieviesto shēmu, izmantojot ārējos auditorus.
Atgādinām, ka Let Encrypt piederošais saknes sertifikāts ir saderīgs ar visām mūsdienu pārlūkprogrammām, taču tas tiek atzīts tikai kā Android 7.1.1 platforma, kas tika izlaista 2016. gada beigās. Saskaņā ar pieejamo statistiku tikai 66,2% no visiem Android ierīcēs tiek izmantota Android 7.1 un jaunāka versija.
33,8% izmantoto Android ierīču nav datu no Let Encrypt saknes sertifikāta, tas ir, viņiem ir nepieciešams papildus parakstīts sertifikāts ar saknes sertifikātu, kas ir saderīgs ar iepriekšējām Android versijām, lai turpinātu darboties pareizi. Ja šajās ierīcēs mēģināsit atvērt vietnes, kas parakstītas tikai ar Let's Encrypt saknes sertifikātu, tiks parādīta kļūda.
Visbeidzot, ja jūs interesē uzzināt vairāk par to Jaunumu informāciju varat pārbaudīt oriģinālā piezīmē, kurai varat piekļūt šo saiti.