Enkele weken geleden we delen hier op de blog het nieuws dat Let's Encrypt (een non-profit, door de gemeenschap gecontroleerde certificeringsinstantie die gratis certificaten verstrekt aan iedereen) waarschuwde gebruikers voor een op handen zijnde wijziging in het genereren van handtekeningen, wat problemen en vooral verlies van compatibiliteit zou veroorzaken met ongeveer 33% van de gebruikte Android-apparaten.
En dit was omdat het de overgang aankondigde naar het genereren van handtekeningen met alleen het basiscertificaat, zonder een certificaat te gebruiken dat kruiselings was ondertekend door de IdenTrust-certificeringsinstantie.
Er werd vermeld dat vanaf 11 januari 2021 wijzigingen zullen worden aangebracht in de Let's Encrypt API en standaard ontvangen ACME-klanten ISRG Root X1-certificaten zonder kruissignering.
Het nieuwe type Let's Encrypt-rootcertificaat zou compatibel zijn met alle moderne browsers, maar het wordt pas herkend vanaf Android 7.1.1, uitgebracht eind 2016 (als je meer wilt weten over het nieuws, raadpleeg dan de publicatie In de volgende link).
Maar nu Let's Encrypt heeft aangekondigd dat het plan is herzien en die compatibiliteit met oudere Android-apparaten zal nog minstens drie jaar voortduren.
De API verandert gepland voor 11 januari, wat een overgang inhoudt naar de standaarduitgifte van certificaten die alleen zijn gecertificeerd door het basiscertificaat ISRG Root X1, zonder kruissignatuur, het is uitgesteld tot juni 2021.
We zijn verheugd aan te kondigen dat we een manier hebben ontwikkeld voor oudere Android-apparaten om hun mogelijkheid te behouden om sites te bezoeken die Let's Encrypt-certificaten gebruiken nadat onze onderling ondertekende makelaars zijn verlopen. We plannen geen wijzigingen meer in januari die compatibiliteitsproblemen zouden kunnen veroorzaken voor Let's Encrypt-abonnees.
Al mismo tiempo, als optie is gekozen om de mogelijkheid aan te bieden om een alternatief certificaat aan te vragen, gecertificeerd volgens het oude kruisvalidatieschema en met behoud van compatibiliteit met apparaten in het rootcertificaatarchief waaraan het Let's Encrypt-certificaat niet is toegevoegd.
Eind januari of begin februari 2021 wordt een alternatief certificaat gegenereerd als onderdeel van een aanvullende overeenkomst met de IdenTrust certificeringsinstantie. Naast het ISRG Root X1-rootcertificaat van Let's Encrypt, wordt dit certificaat kruiselings ondertekend met het DST Root CA X3-certificaat van IdenTrust.
De kruissignatuur is drie jaar geldig, wat korter is dan de geldigheidsperiode van het primaire basiscertificaat ISRG Root X1.
Aangezien de kruishandtekening verloopt vóór de ondertekening met het hoofdcertificaat van Let's Encrypt, zijn problemen vergelijkbaar met het incident met het AddTrust-hoofdcertificaat dat wordt gebruikt voor het ondertekenen van certificaten van de Sectigo Certification Authority (Comodo ).
De browsers hebben het AddTrust-kruiscertificaat correct afgehandeld, maar het veroorzaakte enorme crashes op OpenSSL- en GnuTLS-systemen, hoewel het hoofdcertificaat van Comodo nog steeds geldig was en de vertrouwensketen met het huidige certificaat bleef bestaan.
Om ervoor te zorgen dat het nieuwe Let's Encrypt-certificaat geen vergelijkbare compatibiliteitsproblemen veroorzaakt, zijn de IdenTrust- en Let's Encrypt-certificeringsinstanties van plan het geïmplementeerde schema te beoordelen met behulp van externe auditors.
Ter herinnering: het rootcertificaat van Let's Encrypt is compatibel met alle moderne browsers, maar het wordt pas herkend vanaf het Android 7.1.1-platform, dat eind 2016 werd uitgebracht. Volgens de beschikbare statistieken is slechts 66,2% van Alle Android-apparaten gebruiken Android 7.1 en nieuwere versies.
33,8% van de Android-apparaten die in gebruik zijn, heeft geen gegevens van het Let's Encrypt-rootcertificaat, dat wil zeggen dat ze een aanvullend ondertekend certificaat met een rootcertificaat nodig hebben dat compatibel is met eerdere versies van Android om correct te blijven werken. Als u op die apparaten sites probeert te openen die alleen zijn ondertekend met het Let's Encrypt-rootcertificaat, wordt er een fout weergegeven.
Tenslotte als u er meer over wilt weten U kunt de details van het nieuws bekijken in de originele notitie die u kunt raadplegen op de volgende link.