Zakodujmy (kontrolowany przez społeczność urząd certyfikacji non-profit, który zapewnia bezpłatne certyfikaty wszystkim) ogłosił kolejne przejście do generowania podpisów używając tylko swojego certyfikatu głównego, bez używania certyfikatu z podpisem krzyżowym przez urząd certyfikacji IdenTrust.
Certyfikat główny Let's Encrypt jest kompatybilny ze wszystkimi nowoczesnymi przeglądarkami, ale jest rozpoznawany tylko jako Android 7.1.1, wydany pod koniec 2016 roku.
Problem w tym, że według dostępnych statystyk tylko 66,2% wszystkich urządzeń z Androidem korzysta z Androida 7.1 i nowszych wersji.
Dlatego 33,8% używanych urządzeń z Androidem nie ma danych w certyfikacie głównym Let's Encrypt, a po wygaśnięciu certyfikatu z podpisem krzyżowym zostanie wyświetlony błąd podczas próby otwarcia witryn przy użyciu certyfikatów Let's Encrypt na tych urządzeniach. .
Odsetek użytkowników Androida, którzy nie akceptują certyfikatu głównego Let's Encrypt, szacuje się na około 1% do 5% odbiorców w przypadku dużych witryn.
Let's Encrypt nie zamierza zawierać nowej umowy cross-signature, ponieważ nakłada to na strony umowy dużą dodatkową odpowiedzialność, pozbawia je niezależności i wiąże ich ręce w przestrzeganiu wszystkich procedur i zasad innej instytucji certyfikującej.
Poza tym il Problem z aktualizacją starych urządzeń z Androidem Prawdopodobnie nie zniknie, a wzajemne porozumienie będzie musiało być ciągle odnawiane.
Od 11 stycznia 2021 r. Zostaną wprowadzone zmiany w interfejsie API Let's Encrypt i domyślnie klienci ACME otrzymają certyfikaty ISRG Root X1 bez krzyżowego podpisu.
Użytkownicy świadomi zgodności będą mieli możliwość zażądania alternatywnego certyfikatu, uwierzytelnionego przy użyciu starego schematu weryfikacji krzyżowej, ale takie certyfikaty będą nadal ograniczone okresem ważności certyfikatu głównego z podpisem krzyżowym (1 września 2021 r.).
Jako rozwiązanie, Starszym użytkownikom urządzeń z Androidem zaleca się przejście na przeglądarkę Firefox, który ma własny zaktualizowany główny magazyn certyfikatów.
Ale Firefox nie obsługuje Androida 4.x (około 2% aktywnych urządzeń z Androidem) i może działać tylko na Androidzie 5.0 lub nowszym.
Właściciele witryn, którzy nie chcą zaakceptować utraty kompatybilności ze starszymi telefonami z Androidem, powinni przetwarzać żądania ze starszych urządzeń z Androidem za pośrednictwem protokołu HTTP lub przełączyć się na urząd certyfikacji zgodny ze starszymi wersjami Androida.
Oto jak ogłosiło Let's Encrypt:
„Certyfikat główny DST Root X3, któremu ufamy, wygaśnie 1 września 2021 r. Na szczęście jesteśmy gotowi do działania i polegania wyłącznie na naszym własnym certyfikacie głównym”.
Jednak ta całkowita zmiana samego certyfikatu Let's Encrypt nie będzie bez konsekwencji.
„Niektóre programy, które nie były aktualizowane od 2016 r. (Mniej więcej, kiedy nasz root został zaakceptowany przez wiele programów root), nadal nie ufają naszemu certyfikatowi głównemu, ISRG Root X1” - wyjaśnił Jacob Hoffman-Andrews (starszy programista w Let's Encrypt i starszy technolog w Electronic Frontier Foundation) w ogłoszeniu.
„Dotyczy to w szczególności wersji Androida przed wersją 7.1.1. Oznacza to, że te starsze wersje Androida nie będą już ufać certyfikatom wystawionym przez Let's Encrypt ”.
„W przypadku przeglądarki wbudowanej w telefon z systemem Android lista zaufanych certyfikatów głównych pochodzi z systemu operacyjnego, który w starszych telefonach jest przestarzały. Jednak obecnie Firefox jest wyjątkowy wśród przeglądarek: ma własną listę zaufanych certyfikatów głównych. Dlatego każdy, kto zainstaluje najnowszą wersję Firefoksa, może skorzystać z aktualnej listy zaufanych urzędów certyfikacji, nawet jeśli jego system operacyjny jest nieaktualny ”- twierdzi Hoffman-Andrews.
Powiadomienie skierowane jest również do niektórych właścicieli witryn, którzy otrzymują skargi od użytkowników, aby mogli przygotować się na zmianę. Let's Encrypt zachęca ich do wdrożenia tymczasowego rozwiązania (przełączenia się na alternatywny łańcuch certyfikatów), aby ich witryna działała nieprzerwanie, podczas gdy oceniają, czego potrzebują do długoterminowego rozwiązania.
źródło: https://letsencrypt.org