Kilka tygodni temu dzielimy się tutaj na blogu wiadomościami o Let's Encrypt (non-profit, kontrolowany przez społeczność urząd certyfikacji, który bezpłatnie udostępnia certyfikaty wszystkim) ostrzegał użytkowników o rychłej zmianie w generowaniu podpisów, co spowodowałoby problemy, a przede wszystkim utratę kompatybilności z około 33% używanych urządzeń z Androidem.
A to dlatego, że zapowiadał przejście na generowanie podpisów przy użyciu wyłącznie swojego certyfikatu głównego, bez użycia certyfikatu z podpisem krzyżowym przez urząd certyfikacji IdenTrust.
Wspomniano, że od 11 stycznia 2021 roku zostaną wprowadzone zmiany w API Let's Encrypt i domyślnie klienci ACME otrzymają certyfikaty ISRG Root X1 bez krzyżowego podpisu.
Wspomniano, że nowy typ certyfikatu głównego Let's Encrypt jest kompatybilny ze wszystkimi nowoczesnymi przeglądarkami, ale jest on rozpoznawany tylko w systemie Android 7.1.1, wydanym pod koniec 2016 r. (Jeśli chcesz dowiedzieć się więcej o nowościach, możesz zapoznać się z publikacja W poniższym linku).
Ale teraz, Let's Encrypt ogłosiło, że plan został zmieniony i ta zgodność ze starszymi urządzeniami z Androidem będzie trwała przez co najmniej trzy lata.
Zmiana API zaplanowany na 11 stycznia, co oznacza przejście do domyślnego wydawania certyfikatów poświadczonych wyłącznie certyfikatem głównym ISRG Root X1, bez cross-podpisu, został przełożony na czerwiec 2021 r.
Z przyjemnością informujemy, że opracowaliśmy sposób, aby starsze urządzenia z Androidem zachowały możliwość odwiedzania witryn korzystających z certyfikatów Let's Encrypt po wygaśnięciu naszych brokerów z podpisem krzyżowym. Nie planujemy już żadnych zmian w styczniu, które mogłyby powodować problemy ze zgodnością dla subskrybentów Let's Encrypt.
W tym samym czasie zdecydowano się jako opcję zaoferować możliwość wystąpienia o alternatywny certyfikat, certyfikowany zgodnie ze starym schematem walidacji krzyżowej i zachowujący kompatybilność z urządzeniami w głównym magazynie certyfikatów, do których nie został dodany certyfikat Let's Encrypt.
Alternatywny certyfikat zostanie wygenerowany pod koniec stycznia lub na początku lutego 2021 r w ramach dodatkowej umowy z urzędem certyfikacji IdenTrust. Oprócz certyfikatu głównego ISRG Root X1 należącego do Let's Encrypt, ten certyfikat będzie podpisywany krzyżowo przy użyciu certyfikatu DST Root CA X3 firmy IdenTrust.
Podpis krzyżowy będzie ważny przez trzy lata, który jest krótszy niż okres ważności podstawowego certyfikatu głównego ISRG Root X1.
Ponieważ podpis krzyżowy wygaśnie przed podpisem z głównym certyfikatem głównym Let's Encrypt, problemy podobne do incydentu z certyfikatem głównym AddTrust używanym do cross-podpisywania certyfikatów z Sectigo Certification Authority (Comodo ).
Przeglądarki poprawnie obsłużyły wygaśnięcie certyfikatu krzyżowego AddTrust, ale spowodowało masowe awarie w systemach OpenSSL i GnuTLS, mimo że główny certyfikat główny Comodo był nadal ważny, a łańcuch zaufania z obecnym certyfikatem trwał.
Aby mieć pewność, że nowy certyfikat Let's Encrypt nie powoduje podobnych problemów ze zgodnością, urzędy certyfikacji IdenTrust i Let's Encrypt zamierzają dokonać przeglądu wdrożonego schematu przy użyciu zewnętrznych audytorów.
Przypominamy, że certyfikat główny należący do Let's Encrypt jest kompatybilny ze wszystkimi nowoczesnymi przeglądarkami, ale jest rozpoznawany dopiero jako platforma Android 7.1.1, wydana pod koniec 2016 roku. Według dostępnych statystyk tylko 66,2% Wszystkie urządzenia z Androidem korzystają z Androida 7.1 i nowszych wersji.
33,8% używanych urządzeń z Androidem nie posiada danych z certyfikatu głównego Let's Encrypt, czyli do poprawnego działania wymagają dodatkowo podpisanego certyfikatu z certyfikatem głównym zgodnym z poprzednimi wersjami Androida. Jeśli spróbujesz otworzyć witryny podpisane tylko przy użyciu certyfikatu głównego Let's Encrypt na tych urządzeniach, zostanie wyświetlony błąd.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat Możesz sprawdzić szczegóły wiadomości w oryginalnej notatce, do której masz dostęp poniższy link.