Laten we versleutelen (een door de gemeenschap gecontroleerde certificeringsinstantie zonder winstoogmerk die iedereen gratis certificaten verstrekt) kondigde de volgende overgang aan om handtekeningen te genereren door alleen uw rootcertificaat te gebruiken, zonder een certificaat te gebruiken dat kruislings is ondertekend door de IdenTrust-certificeringsinstantie.
Het Let's Encrypt-rootcertificaat Het is compatibel met alle moderne browsers, maar wordt pas herkend vanaf Android 7.1.1, uitgebracht eind 2016.
Het probleem is dat volgens de beschikbare statistieken slechts 66,2% van alle Android-apparaten gebruikt Android 7.1 en nieuwere versies.
Daarom heeft 33,8% van de Android-apparaten die in gebruik zijn geen gegevens in het Let's Encrypt-basiscertificaat en zodra het kruiscertificaat verloopt, wordt er een fout weergegeven wanneer wordt geprobeerd sites te openen met Let's Encrypt-certificaten op die apparaten. .
Het percentage Android-gebruikers dat het Let's Encrypt-rootcertificaat niet accepteert, wordt geschat op ongeveer 1% tot 5% van het publiek voor grote sites.
Let's Encrypt is niet van plan een nieuwe overeenkomst voor kruissignalering te sluiten, aangezien dit een grote extra verantwoordelijkheid oplegt aan de partijen bij de overeenkomst, hen hun onafhankelijkheid ontneemt en hun handen samenhoudt bij het naleven van alle procedures en regels van een andere certificeringsautoriteit.
Trouwens, enl Probleem met het updaten van oude Android-apparaten Het zal waarschijnlijk niet verdwijnen en het kruisakkoord zal steeds opnieuw moeten worden vernieuwd.
Vanaf 11 januari 2021 worden er wijzigingen aangebracht in de Let's Encrypt API en standaard ontvangen ACME-klanten ISRG Root X1-certificaten zonder kruissignering.
Gebruikers die zich zorgen maken over compatibiliteit, krijgen de mogelijkheid om een alternatief certificaat aan te vragen, geverifieerd met behulp van het oude kruisvalidatieschema, maar dergelijke certificaten zullen beperkt blijven tot de levensduur van het kruislings ondertekende basiscertificaat (1 september 2021).
Als oplossing Oudere gebruikers van Android-apparaten wordt geadviseerd om over te schakelen naar de Firefox-browser, die zijn eigen bijgewerkte rootcertificaatarchief heeft.
Maar Firefox ondersteunt Android 4.x niet (ongeveer 2% van de actieve Android-apparaten) en kan alleen draaien op Android 5.0 of nieuwer.
Site-eigenaren die het verlies van compatibiliteit met oudere Android-telefoons niet willen accepteren, worden geadviseerd verzoeken van oudere Android-apparaten via HTTP te verwerken of over te schakelen naar een CA die compatibel is met oudere versies van Android.
Dit is hoe Let's Encrypt heeft aangekondigd:
"Het DST Root X3-rootcertificaat dat we vertrouwen om op te starten, verloopt op 1 september 2021. Gelukkig zijn we klaar om op te staan en uitsluitend te vertrouwen op ons eigen rootcertificaat."
Deze volledige wijziging van het Let's Encrypt-certificaat zelf zal echter niet zonder gevolgen zijn.
"Sommige software die sinds 2016 niet is bijgewerkt (toen onze root door veel rootprogramma's werd geaccepteerd) vertrouwt nog steeds ons rootcertificaat, ISRG Root X1, niet", legt Jacob Hoffman-Andrews (senior ontwikkelaar bij Let's Encrypt en senior technoloog bij Electronic Frontier Foundation) in een bericht.
Dit omvat met name versies van Android vóór versie 7.1.1. Dit betekent dat deze oudere versies van Android niet langer certificaten vertrouwen die zijn uitgegeven door Let's Encrypt ”.
“Voor de ingebouwde browser op een Android-telefoon is de lijst met vertrouwde rootcertificaten afkomstig van het besturingssysteem, dat verouderd is op deze oudere telefoons. Firefox is momenteel echter uniek onder browsers: het wordt geleverd met een eigen lijst met vertrouwde rootcertificaten. Dus iedereen die de nieuwste versie van Firefox installeert, profiteert van een up-to-date lijst van vertrouwde certificeringsinstanties, zelfs als hun besturingssysteem verouderd is ”, aldus Hoffman-Andrews.
De kennisgeving is ook gericht aan sommige website-eigenaren die klachten van gebruikers ontvangen, zodat ze zich op de wijziging kunnen voorbereiden. Let's Encrypt moedigt hen aan om een tijdelijke oplossing te implementeren (overschakelen naar de alternatieve certificaatketen) om hun site draaiende te houden terwijl ze evalueren wat ze nodig hebben voor een langetermijnoplossing.
bron: https://letsencrypt.org