La oss kryptere (en felleskontrollert, ideell sertifiseringsmyndighet som gir gratis sertifikater til alle) kunngjorde neste overgang for å generere signaturer bruker bare ditt rotsertifikat, uten å bruke et sertifikat som er kryssignert av IdenTrust-sertifikatmyndigheten.
La oss kryptere rotsertifikatet Den er kompatibel med alle moderne nettlesere, men er bare anerkjent fra Android 7.1.1, utgitt i slutten av 2016.
Problemet er at, ifølge tilgjengelig statistikk, bare 66,2% av alle Android-enheter bruker Android 7.1 og nyere versjoner.
Derfor har 33,8% av Android-enheter som er i bruk ingen data i Let's Encrypt-rotsertifikatet, og når det kryssignerte sertifikatet utløper, vises en feil når du prøver å åpne nettsteder som bruker Let's Encrypt-sertifikater på disse enhetene. .
Andelen Android-brukere som ikke godtar Let's Encrypt-rotsertifikatet, anslås å være rundt 1% til 5% av publikum for store nettsteder.
Let's Encrypt har ikke til hensikt å inngå en ny kryssignaturavtale, da dette gir partene i avtalen et stort tilleggsansvar, fratar dem uavhengighet og binder hendene i å overholde alle prosedyrer og regler fra en annen sertifiseringsmyndighet.
Dessuten, ogl Problem med oppdatering av gamle Android-enheter Det vil trolig ikke forsvinne og kryssavtalen må fornyes om og om igjen.
Fra 11. januar 2021 vil det bli gjort endringer i Let's Encrypt API og som standard vil ACME-kunder motta ISRG Root X1-sertifikater uten kryssignering.
Brukere som er bekymret for kompatibilitet, vil ha muligheten til å be om et annet sertifikat, godkjent ved hjelp av det gamle kryssvalideringsskjemaet, men slike sertifikater vil fortsatt være begrenset av levetiden til det kryssignerte rotsertifikatet (1. september 2021).
Som en løsning, Eldre brukere av Android-enheter anbefales å bytte til Firefox-nettleser, som har sin egen oppdaterte rotsertifikatbutikk.
Men Firefox støtter ikke Android 4.x (ca. 2% av aktive Android-enheter) og kan bare kjøres på Android 5.0 eller nyere.
Nettstedseiere som ikke er villige til å akseptere tap av kompatibilitet med eldre Android-telefoner, anbefales å behandle forespørsler fra eldre Android-enheter via HTTP eller å bytte til en CA som er kompatibel med eldre versjoner av Android.
Slik annonserte Let's Encrypt:
"DST Root X3-rotsertifikatet som vi stoler på å starte, utløper 1. september 2021. Heldigvis er vi klare til å stå opp og stole utelukkende på vårt eget rotsertifikat."
Denne fullstendige endringen i selve Let's Encrypt-sertifikatet vil imidlertid ikke være uten konsekvenser.
“Noen programvare som ikke har blitt oppdatert siden 2016 (omtrent da roten vår ble akseptert av mange rotprogrammer), stoler fortsatt ikke på rotsertifikatet vårt, ISRG Root X1,” forklarte Jacob Hoffman-Andrews (seniorutvikler hos Let's Encrypt og seniorteknolog ved Electronic Frontier Foundation) i en kunngjøring.
“Dette inkluderer spesielt versjoner av Android før versjon 7.1.1. Dette betyr at disse eldre versjonene av Android ikke lenger stoler på sertifikater utstedt av Let's Encrypt ”.
“For den innebygde nettleseren på en Android-telefon kommer listen over pålitelige rotsertifikater fra operativsystemet, som er utdatert på disse eldre telefonene. Firefox er imidlertid for tiden unik blant nettlesere: den kommer med en egen liste over pålitelige rotsertifikater. Så alle som installerer den nyeste versjonen av Firefox, drar nytte av en oppdatert liste over pålitelige sertifikatmyndigheter, selv om operativsystemet deres er utdatert, "ifølge Hoffman-Andrews.
Kunngjøringen er også rettet mot noen eiere av nettsteder som mottar klager fra brukere, slik at de kan forberede seg på endringen. Let's Encrypt oppfordrer dem til å implementere en midlertidig løsning (bytte til den alternative sertifikatkjeden) for å holde nettstedet sitt i gang mens de vurderer hva de trenger for en langsiktig løsning.
Fuente: https://letsencrypt.org