Beberapa minggu yang lalu kami kongsikan di sini di blog berita bahawa Let's Encrypt (pihak berkuasa pensijilan tanpa untung dan dikendalikan oleh masyarakat yang memberikan sijil secara percuma kepada semua orang) memberi amaran kepada pengguna mengenai perubahan yang akan berlaku dalam generasi tandatangan, yang akan menyebabkan masalah dan di atas semua kehilangan keserasian dengan kira-kira 33% peranti Android yang digunakan.
Ini kerana ia mengumumkan peralihan untuk menghasilkan tandatangan hanya dengan menggunakan sijil akarnya, tanpa menggunakan sijil yang ditandatangani silang oleh pihak berkuasa sijil IdenTrust.
Disebutkan bahawa pada 11 Januari 2021, perubahan akan dilakukan pada Let's Encrypt API dan secara lalai, pelanggan ACME akan menerima sijil ISRG Root X1 tanpa menandatangani silang.
Jenis sijil root Let's Encrypt baru disebutkan serasi dengan semua penyemak imbas moden, tetapi hanya dikenali sebagai Android 7.1.1, dikeluarkan pada akhir 2016 (jika anda ingin mengetahui lebih lanjut mengenai berita tersebut, anda boleh berjumpa penerbitan Dalam pautan berikut).
Tetapi sekarang, Let's Encrypt mengumumkan bahawa rancangan itu telah disemak semula dan keserasian dengan peranti Android yang lebih lama akan berterusan sekurang-kurangnya tiga tahun lagi.
Perubahan API dijadualkan pada 11 Januari, yang bermaksud peralihan kepada penerbitan sijil lalai yang disahkan hanya oleh sijil root ISRG Root X1, tanpa tandatangan silang, ia telah ditangguhkan hingga Jun 2021.
Kami dengan bangga mengumumkan bahawa kami telah mengembangkan cara untuk peranti Android yang lebih lama untuk mengekalkan kemampuan mereka untuk mengunjungi laman web yang menggunakan sijil Let's Encrypt setelah broker silang tanda tangan kami tamat. Kami tidak lagi merancang perubahan pada bulan Januari yang boleh menyebabkan masalah keserasian untuk pelanggan Let's Encrypt.
Pada masa yang sama ia diputuskan sebagai pilihan untuk menawarkan kemungkinan meminta sijil alternatif, diperakui mengikut skema pengesahan silang lama dan mengekalkan keserasian dengan peranti di kedai sijil root yang mana sijil Let's Encrypt belum ditambahkan.
Sijil alternatif akan dihasilkan pada akhir Januari atau awal Februari 2021 sebagai sebahagian daripada perjanjian tambahan dengan pihak berkuasa pensijilan IdenTrust. Sebagai tambahan kepada sijil root ISRG Root X1 milik Let's Encrypt, sijil ini akan ditandatangani silang menggunakan sijil DST Root CA X3 IdenTrust.
Tandatangan salib akan sah selama tiga tahun, yang kurang dari tempoh sah sijil root utama ISRG Root X1.
Oleh kerana tandatangan silang akan tamat sebelum tandatangan dengan sijil root Let's Encrypt utama, masalah serupa dengan kejadian dengan sijil root AddTrust yang digunakan untuk sijil tanda silang dari pihak berkuasa sijil Sectigo (Comodo).
Penyemak imbas menangani tamat tempoh sijil silang AddTrust dengan betul, tetapi ia menyebabkan kerosakan besar pada sistem OpenSSL dan GnuTLS, walaupun sijil root utama Comodo masih sah dan rantai kepercayaan dengan sijil semasa masih ada.
Untuk memastikan bahawa sijil Let's Encrypt yang baru tidak menimbulkan masalah keserasian yang serupa, pihak berkuasa sijil IdenTrust dan Let's Encrypt berhasrat untuk mengkaji semula skema yang dilaksanakan menggunakan juruaudit luaran.
Sebagai peringatan, sijil root yang dimiliki oleh Let's Encrypt serasi dengan semua penyemak imbas moden, tetapi hanya dikenali sebagai platform Android 7.1.1, yang dikeluarkan pada akhir 2016. Menurut statistik yang ada, hanya 66,2% dari Semua Peranti Android menggunakan Android 7.1 dan versi yang lebih baru.
33,8% peranti Android yang digunakan tidak mempunyai data dari sijil root Let's Encrypt, iaitu, mereka memerlukan sijil yang ditandatangani tambahan dengan sijil root yang serasi dengan versi Android sebelumnya untuk terus berfungsi dengan betul. Sekiranya anda cuba membuka laman web yang ditandatangani hanya dengan sijil root Let's Encrypt pada peranti tersebut, kesalahan akan ditunjukkan.
Akhirnya, sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya Anda boleh menyemak perincian berita dalam catatan asal yang boleh anda akses pautan berikut.