For noen uker siden vi deler her på bloggen nyheten om at Let's Encrypt (en ideell, samfunnskontrollert sertifiseringsmyndighet som gir sertifikater gratis til alle) advarte brukere om en overhengende endring i generering av signaturer, som ville forårsake problemer og fremfor alt tap av kompatibilitet med omtrent 33% av Android-enhetene i bruk.
Og dette var fordi den kunngjorde overgangen til å generere signaturer ved hjelp av bare rotsertifikatet, uten å bruke et sertifikat som var kryssignert av IdenTrust-sertifikatmyndigheten.
Det ble nevnt at fra 11. januar 2021 vil det bli gjort endringer i Let's Encrypt API og som standard vil ACME-kunder motta ISRG Root X1-sertifikater uten kryssignering.
Den nye typen Let's Encrypt-rotsertifikat ble nevnt for å være kompatibel med alle moderne nettlesere, men det er bare anerkjent fra Android 7.1.1, utgitt i slutten av 2016 (hvis du vil vite mer om nyhetene, kan du konsultere publikasjonen I den følgende lenken).
Men nå, Let's Encrypt kunngjorde at planen er revidert og at kompatibiliteten med eldre Android-enheter vil fortsette i minst tre år til.
API-endringen planlagt til 11. januar, som innebærer en overgang til standardutstedelse av sertifikater kun sertifisert av rotsertifikatet ISRG Root X1, uten krysssignatur, den er utsatt til juni 2021.
Vi er glade for å kunngjøre at vi har utviklet en måte for eldre Android-enheter å beholde sin evne til å besøke nettsteder som bruker Let's Encrypt-sertifikater etter at våre kryssignerte meglere utløper. Vi planlegger ikke lenger noen endringer i januar som kan forårsake kompatibilitetsproblemer for Let's Encrypt-abonnenter.
Samtidig det ble bestemt som et alternativ å tilby muligheten for å be om et annet sertifikat, sertifisert i henhold til det gamle kryssvalideringsskjemaet og bevare kompatibilitet med enheter i rotsertifikatlageret som Let's Encrypt-sertifikatet ikke er lagt til.
Et alternativt sertifikat vil bli generert i slutten av januar eller begynnelsen av februar 2021 som en del av en tilleggsavtale med IdenTrust-sertifiseringsmyndigheten. I tillegg til ISRG Root X1-rotsertifikatet som tilhører Let's Encrypt, blir dette sertifikatet kryssignert ved hjelp av IdenTrusts DST Root CA X3-sertifikat.
Korssignaturen vil være gyldig i tre år, som er mindre enn gyldighetsperioden til det primære rotsertifikatet ISRG Root X1.
Siden kryssignaturen utløper før signaturen med hovedtypen La oss kryptere rotsertifikatet, er det problemer som ligner på hendelsen med AddTrust-rotsertifikatet som brukes til kryssigneringssertifikater fra Sectigo-sertifikatmyndigheten (Comodo).
Nettleserne håndterte utløpet av AddTrust-kryssertifikatet riktig, men det forårsaket massive krasjer på OpenSSL og GnuTLS-systemer, selv om Comodos viktigste rotsertifikat fremdeles var gyldig og tillitskjeden til det gjeldende sertifikatet vedvarte.
For å sikre at det nye Let's Encrypt-sertifikatet ikke skaper lignende kompatibilitetsproblemer, har IdenTrust og Let's Encrypt-sertifikatmyndighetene til hensikt å gjennomgå den implementerte ordningen ved hjelp av eksterne revisorer.
Som en påminnelse er rotsertifikatet som eies av Let's Encrypt, kompatibelt med alle moderne nettlesere, men det er bare anerkjent som Android 7.1.1-plattformen, utgitt i slutten av 2016. I henhold til tilgjengelig statistikk er bare 66,2% av All Android-enheter bruker Android 7.1 og nyere versjoner.
33,8% av Android-enhetene i bruk har ikke data fra Let's Encrypt-rotsertifikatet, det vil si at de krever et tilleggssignert sertifikat med et rotsertifikat som er kompatibelt med tidligere versjoner av Android for å fortsette å fungere riktig. Hvis du prøver å åpne nettsteder som bare er signert med Let's Encrypt-rotsertifikatet på disse enhetene, vises en feil.
Endelig, hvis du er interessert i å vite mer om det Du kan sjekke detaljene i nyhetene i det originale notatet som du kan få tilgang til på følgende lenke.