Ayo Sulitkan (pihak berkuasa pensijilan bukan untung yang dikendalikan oleh masyarakat yang memberikan sijil percuma kepada semua orang) mengumumkan peralihan seterusnya untuk menghasilkan tandatangan hanya menggunakan sijil root anda, tanpa menggunakan sijil yang ditandatangani silang oleh pihak berkuasa sijil IdenTrust.
Sijil root Let's Encrypt Ia sesuai dengan semua penyemak imbas moden, tetapi hanya dikenali sebagai Android 7.1.1, yang dikeluarkan pada akhir 2016.
Masalahnya ialah, menurut statistik yang ada, hanya 66,2% dari semua peranti Android menggunakan Android 7.1 dan versi yang lebih baru.
Oleh itu, 33,8% peranti Android yang digunakan tidak mempunyai data dalam sijil root Let's Encrypt dan setelah sijil tanda silang tamat, kesalahan akan ditunjukkan ketika cuba membuka laman web menggunakan sijil Let's Encrypt pada peranti tersebut. .
Peratusan pengguna Android yang tidak menerima sijil root Let's Encrypt dianggarkan sekitar 1% hingga 5% penonton untuk laman web besar.
Let's Encrypt tidak bermaksud untuk membuat perjanjian cross-signature yang baru, kerana ini memberikan tanggungjawab tambahan yang besar kepada pihak-pihak dalam perjanjian tersebut, melucutkan kebebasan mereka dan mengikat tangan mereka untuk mematuhi semua prosedur dan peraturan pihak berkuasa perakuan lain.
Selain itu, danl Masalah dengan mengemas kini peranti Android lama Ia mungkin tidak akan hilang dan perjanjian silang perlu diperbaharui berulang kali.
Pada 11 Januari 2021, perubahan akan dilakukan pada Let's Encrypt API dan secara lalai, pelanggan ACME akan menerima sijil ISRG Root X1 tanpa menandatangani silang.
Pengguna yang prihatin terhadap keserasian akan berpeluang untuk meminta sijil alternatif, yang disahkan menggunakan skema pengesahan silang lama, tetapi sijil tersebut akan terus dibatasi oleh jangka hayat sijil akar yang ditandatangani silang (1 September 2021).
Sebagai penyelesaian, Pengguna peranti Android yang lebih tua disarankan untuk beralih ke penyemak imbas Firefox, yang mempunyai kedai sijil root yang dikemas kini sendiri.
Tetapi Firefox tidak menyokong Android 4.x (sekitar 2% peranti Android aktif) dan hanya dapat berjalan pada Android 5.0 atau yang lebih baru.
Pemilik laman web yang tidak bersedia menerima kehilangan keserasian dengan telefon Android yang lebih tua disarankan untuk memproses permintaan dari peranti Android yang lebih lama melalui HTTP atau beralih ke CA yang sesuai dengan versi Android yang lebih lama.
Inilah cara Let's Encrypt diumumkan:
"Sijil root DST Root X3 yang kami percayai untuk boot akan tamat pada 1 September 2021. Nasib baik, kami bersedia untuk berdiri dan bergantung sepenuhnya pada sijil root kami sendiri."
Walau bagaimanapun, perubahan lengkap pada sijil Let's Encrypt itu sendiri tidak akan membawa kesan.
"Beberapa perisian yang belum dikemas kini sejak 2016 (sekitar ketika root kami diterima oleh banyak program root) masih tidak mempercayai sijil root kami, ISRG Root X1," jelas Jacob Hoffman-Andrews (pemaju kanan di Let's Encrypt dan teknolog kanan di Electronic Frontier Foundation) dalam notis.
"Ini termasuk versi Android sebelum versi 7.1.1. Ini bermakna versi Android yang lebih lama ini tidak lagi mempercayai sijil yang dikeluarkan oleh Let's Encrypt ”.
"Untuk penyemak imbas bawaan pada telefon Android, senarai sijil root yang dipercayai berasal dari sistem operasi, yang sudah usang pada telefon lama ini. Walau bagaimanapun, Firefox pada masa ini unik di antara penyemak imbas: ia dilengkapi dengan senarai sijil root yang dipercayai. Oleh itu, sesiapa yang memasang versi terbaru Firefox mendapat manfaat daripada senarai pihak berkuasa sijil yang terkini, walaupun sistem operasi mereka sudah usang, ”menurut Hoffman-Andrews.
Pemberitahuan itu juga ditujukan kepada beberapa pemilik laman web yang menerima aduan daripada pengguna sehingga mereka dapat mempersiapkan perubahan tersebut. Let's Encrypt mendorong mereka untuk melaksanakan penyelesaian sementara (beralih ke rantai sijil gantian) untuk memastikan laman web mereka terus berjalan sementara mereka menilai apa yang mereka perlukan untuk penyelesaian jangka panjang.
Fuente: https://letsencrypt.org