Algumas semanas atrás compartilhamos aqui no blog a novidade que Let's Encrypt (uma autoridade de certificação controlada pela comunidade sem fins lucrativos que fornece certificados gratuitamente para todos) alertou os usuários sobre uma mudança iminente na geração de assinaturas, o que causaria problemas e acima de tudo perda de compatibilidade com aproximadamente 33% dos dispositivos Android em uso.
E isso porque estava anunciando a transição para a geração de assinaturas usando apenas seu certificado raiz, sem usar um certificado assinado cruzado pela autoridade de certificação IdenTrust.
Foi mencionado que a partir de 11 de janeiro de 2021, as alterações serão feitas na API Let's Encrypt e, por padrão, os clientes ACME receberão certificados ISRG Root X1 sem assinatura cruzada.
O novo tipo de certificado raiz Let's Encrypt foi citado como sendo compatível com todos os navegadores modernos, mas só é reconhecido a partir do Android 7.1.1, lançado no final de 2016 (se quiser saber mais sobre as novidades, pode consultar a publicação no link a seguir).
Mas agora, Let's Encrypt anunciou que o plano foi revisado e essa compatibilidade com dispositivos Android mais antigos continuará por pelo menos mais três anos.
A mudança de API agendada para 11 de janeiro, o que implica uma transição para a emissão padrão de certificados certificados apenas pelo certificado raiz ISRG Root X1, sem assinatura cruzada, foi adiado para junho de 2021.
Temos o prazer de anunciar que desenvolvemos uma maneira para dispositivos Android mais antigos manterem sua capacidade de visitar sites que usam certificados Let's Encrypt após a expiração de nossos corretores com assinatura cruzada. Não planejamos mais quaisquer mudanças em janeiro que possam causar problemas de compatibilidade para os assinantes do Let's Encrypt.
Ao mesmo tempo, foi decidido como opção oferecer a possibilidade de solicitar um certificado alternativo, certificado de acordo com o antigo esquema de validação cruzada e preservando a compatibilidade com dispositivos no armazenamento de certificados raiz aos quais o certificado Let's Encrypt não foi adicionado.
Um certificado alternativo será gerado no final de janeiro ou início de fevereiro de 2021 como parte de um contrato adicional com a autoridade de certificação IdenTrust. Além do certificado raiz ISRG Root X1 pertencente ao Let's Encrypt, este certificado terá uma assinatura cruzada usando o certificado DST Root CA X3 da IdenTrust.
A assinatura cruzada será válido por três anos, que é menor que o período de validade do certificado de raiz primária ISRG Root X1.
Visto que a assinatura cruzada irá expirar antes da assinatura com o certificado raiz principal Let's Encrypt, problemas semelhantes ao incidente com o certificado raiz AddTrust usado para certificados de assinatura cruzada da Autoridade de Certificação Sectigo (Comodo )
Os navegadores manipularam corretamente a expiração do certificado cruzado AddTrust, mas causou travamentos massivos nos sistemas OpenSSL e GnuTLS, embora o certificado raiz principal do Comodo ainda fosse válido e a cadeia de confiança com o certificado atual persistisse.
Para garantir que o novo certificado Let's Encrypt não crie problemas de compatibilidade semelhantes, as autoridades de certificação IdenTrust e Let's Encrypt pretendem revisar o esquema implementado usando auditores externos.
Lembramos que o certificado raiz de Let's Encrypt é compatível com todos os navegadores modernos, mas só é reconhecido a partir da plataforma Android 7.1.1, lançada no final de 2016. De acordo com as estatísticas disponíveis, apenas 66,2% de Todos os dispositivos Android usam Android 7.1 e versões mais recentes.
33,8% dos dispositivos Android em uso não possuem dados do certificado raiz Let's Encrypt, ou seja, requerem um certificado assinado adicionalmente com um certificado raiz compatível com versões anteriores do Android para continuar funcionando corretamente. Se você tentar abrir sites assinados apenas com o certificado raiz Let's Encrypt nesses dispositivos, um erro será exibido.
Finalmente, se você estiver interessado em saber mais sobre isso Você pode verificar os detalhes da notícia na nota original, que pode ser acessada em o seguinte link.