Let’s Encrypt (uma autoridade de certificação sem fins lucrativos, controlada pela comunidade, que fornece certificados gratuitos para todos) anunciou a próxima transição para gerar assinaturas usando apenas seu certificado raiz, sem usar um certificado assinado cruzado pela autoridade de certificação IdenTrust.
O certificado raiz Let's Encrypt É compatível com todos os navegadores modernos, mas só é reconhecido a partir do Android 7.1.1, lançado no final de 2016.
O problema é que, de acordo com as estatísticas disponíveis, apenas 66,2% de todos os dispositivos Android usam Android 7.1 e versões mais recentes.
Portanto, 33,8% dos dispositivos Android em uso não têm dados no certificado raiz Let's Encrypt e, quando o certificado assinado cruzado expirar, um erro será exibido ao tentar abrir sites usando certificados Let's Encrypt nesses dispositivos. .
A porcentagem de usuários do Android que não aceitam o certificado raiz Let's Encrypt é estimada entre 1 e 5% do público de sites grandes.
Let's Encrypt não pretende concluir um novo acordo de assinatura cruzada, pois isso impõe uma grande responsabilidade adicional às partes do acordo, priva-as de independência e as amarra no cumprimento de todos os procedimentos e regras de outra autoridade de certificação.
Além disso, el Problema com a atualização de dispositivos Android antigos Provavelmente não desaparecerá e o acordo cruzado terá que ser renovado continuamente.
A partir de 11 de janeiro de 2021, serão feitas alterações na API Let's Encrypt e, por padrão, os clientes ACME receberão certificados ISRG Root X1 sem assinatura cruzada.
Os usuários preocupados com a compatibilidade terão a oportunidade de solicitar um certificado alternativo, autenticado usando o antigo esquema de validação cruzada, mas tais certificados continuarão a ser limitados pelo tempo de vida do certificado raiz com assinatura cruzada (1 de setembro de 2021).
Como solução, Usuários mais velhos de dispositivos Android são aconselhados a mudar para o navegador Firefox, que tem seu próprio armazenamento de certificado raiz atualizado.
Mas o Firefox não suporta Android 4.x (cerca de 2% dos dispositivos Android ativos) e só pode ser executado no Android 5.0 ou mais recente.
Proprietários de sites que não desejam aceitar a perda de compatibilidade com telefones Android mais antigos são aconselhados a processar solicitações de dispositivos Android mais antigos por HTTP ou a mudar para um CA compatível com versões mais antigas do Android.
Veja como vamos criptografar:
"O certificado raiz DST Root X3 em que confiamos para inicializar irá expirar em 1º de setembro de 2021. Felizmente, estamos prontos para nos levantarmos e confiarmos exclusivamente em nosso próprio certificado raiz."
No entanto, esta mudança completa no certificado Let's Encrypt em si não será sem consequências.
“Alguns softwares que não foram atualizados desde 2016 (quando nossa raiz foi aceita por muitos programas raiz) ainda não confiam em nosso certificado raiz, ISRG Root X1”, explicou Jacob Hoffman-Andrews (desenvolvedor sênior da Let's Encrypt e tecnólogo sênior da Electronic Frontier Foundation) em um aviso.
“Isso inclui, em particular, versões do Android anteriores à versão 7.1.1. Isso significa que essas versões mais antigas do Android não confiarão mais nos certificados emitidos pelo Let's Encrypt ”.
“Para o navegador embutido em um telefone Android, a lista de certificados raiz confiáveis vem do sistema operacional, que é obsoleto nesses telefones mais antigos. No entanto, o Firefox é atualmente único entre os navegadores: ele vem com sua própria lista de certificados raiz confiáveis. Portanto, qualquer pessoa que instalar a versão mais recente do Firefox se beneficia de uma lista atualizada de autoridades de certificação confiáveis, mesmo que seu sistema operacional esteja desatualizado ”, de acordo com Hoffman-Andrews.
O aviso também é direcionado a alguns proprietários de sites que recebem reclamações de usuários para que possam se preparar para a mudança. O Let's Encrypt os incentiva a implementar uma solução provisória (mudar para a cadeia de certificados alternativa) para manter seu site ativo e funcionando enquanto avaliam o que precisam para uma solução de longo prazo.
fonte: https://letsencrypt.org