Let's Encrypt (kopienas kontrolēta bezpeļņas sertifikācijas iestāde, kas visiem nodrošina bezmaksas sertifikātus) paziņoja par nākamo pāreju uz parakstu ģenerēšanu izmantojot tikai jūsu saknes sertifikātu, neizmantojot IdenTrust sertifikāta iestādes savstarpēji parakstītu sertifikātu.
Šifrēsim saknes sertifikātu Tas ir saderīgs ar visām mūsdienu pārlūkprogrammām, taču tiek atzīts tikai par Android 7.1.1, kas tika izlaists 2016. gada beigās.
Problēma ir tā, ka saskaņā ar pieejamo statistiku tikai 66,2% no visām Android ierīcēm izmanto Android 7.1 un jaunākas versijas.
Tādēļ 33,8% izmantoto Android ierīču nav šifrēšanas saknes sertifikāta datu, un pēc tam, kad beigsies savstarpēji parakstītā sertifikāta derīguma termiņš, mēģinot atvērt vietnes, šajās ierīcēs šifrējot sertifikātus, tiks parādīta kļūda.
Tiek lēsts, ka to Android lietotāju procentuālā daļa, kuri nepieņem Sakņu šifrēšanas saknes sertifikātu, ir aptuveni 1% līdz 5% lielu vietņu auditorijas.
Let's Encrypt neplāno noslēgt jaunu savstarpējas parakstīšanas līgumu, tā kā tas uzliek lielu papildu atbildību nolīguma pusēm, atņem tām neatkarību un sasaista rokas, ievērojot visas citas sertifikācijas iestādes procedūras un noteikumus.
Bez tam, unl Problēma ar veco Android ierīču atjaunināšanu tas, iespējams, nepazudīs, un savstarpējais līgums būs jāatjauno vēl un vēl.
Sākot ar 11. gada 2021. janvāri, tiks veiktas izmaiņas API šifrēšanai un pēc noklusējuma ACME klienti saņems ISRG Root X1 sertifikātus bez savstarpējas parakstīšanas.
Lietotājiem, kuri uztraucas par saderību, būs iespēja pieprasīt alternatīvu sertifikātu, kas autentificēts, izmantojot veco savstarpējās validācijas shēmu, taču šādus sertifikātus arī turpmāk ierobežos savstarpēji parakstītā saknes sertifikāta kalpošanas laiks (1. gada 2021. septembris).
Kā risinājumu Vecākiem Android ierīču lietotājiem ieteicams pārslēgties uz pārlūkprogrammu Firefox, kurai ir savs atjauninātais sakņu sertifikātu krājums.
Bet Firefox neatbalsta operētājsistēmu Android 4.x (apmēram 2% no aktīvajām Android ierīcēm), un to var darbināt tikai operētājsistēmā Android 5.0 vai jaunākā.
Vietņu īpašniekiem, kuri nevēlas samierināties ar saderību ar vecākiem Android tālruņiem, ieteicams apstrādāt pieprasījumus no vecākām Android ierīcēm, izmantojot HTTP, vai pārslēgties uz CA, kas ir saderīga ar vecākām Android versijām.
Lūk, kā paziņosim Letry Encrypt:
"DST Root X3 saknes sertifikāts, kuru uzticam sāknēšanai, beigsies 1. gada 2021. septembrī. Par laimi, mēs esam gatavi piecelties un paļauties tikai uz savu saknes sertifikātu."
Tomēr šīs pilnīgās izmaiņas pašā šifrēšanas sertifikātā neiztiks bez sekām.
"Dažas programmatūras, kas nav atjauninātas kopš 2016. gada (aptuveni tad, kad mūsu sakni pieņēma daudzas sakņu programmas), joprojām neuzticas mūsu saknes sertifikātam ISRG Root X1," paskaidroja Džeikobs Hofmans-Endrjūss (Let's Encrypt vecākais izstrādātājs un vecākais Electronic Frontier Foundation tehnologs) paziņojumā.
“Tas jo īpaši attiecas uz Android versijām pirms 7.1.1 versijas. Tas nozīmē, ka šīs vecās Android versijas vairs neuzticēsies Let’s Encrypt izsniegtajiem sertifikātiem ”.
“Android tālruņa iebūvētajam pārlūkam uzticamo saknes sertifikātu saraksts nāk no operētājsistēmas, kas ir novecojusi šajos vecākajos tālruņos. Tomēr pārlūkprogrammās Firefox pašlaik ir unikāls: tam ir savs uzticamo sakņu sertifikātu saraksts. Tātad ikviens, kurš instalē jaunāko Firefox versiju, gūst labumu no atjauninātu uzticamo sertifikātu autoritāšu saraksta, pat ja viņu operētājsistēma ir novecojusi, ”norāda Hofmans-Endrjūss.
Paziņojums ir adresēts arī dažiem vietņu īpašniekiem, kuri saņem sūdzības no lietotājiem, lai viņi varētu sagatavoties izmaiņām. Let's Encrypt mudina viņus ieviest pagaidu risinājumu (pāriet uz alternatīvo sertifikātu ķēdi), lai saglabātu savas vietnes darbību un darbību, kamēr viņi novērtē ilgtermiņa risinājumam nepieciešamo.
Fuente: https://letsencrypt.org