Să ștergem (o autoritate de certificare non-profit, controlată de comunitate, care oferă certificate gratuite tuturor) a anunțat următoarea tranziție pentru a genera semnături folosind doar certificatul rădăcină, fără a utiliza un certificat semnat încrucișat de autoritatea de certificare IdenTrust.
Certificatul rădăcină Let's Encrypt Este acceptat de toate browserele moderne, dar este recunoscut doar începând cu Android 7.1.1, lansat la sfârșitul anului 2016.
Problema este că, conform statisticilor disponibile, doar 66,2% din toate dispozitivele Android folosesc Android 7.1 și versiuni mai noi.
Prin urmare, 33,8% dintre dispozitivele Android în uz nu au date în certificatul rădăcină Let's Encrypt și, odată ce certificatul cu semnătură încrucișată expiră, va fi afișată o eroare când se încearcă deschiderea site-urilor folosind certificate Let's Encrypt pe astfel de dispozitive. .
Procentul de utilizatori Android care nu acceptă certificatul rădăcină Let's Encrypt este estimat la aproximativ 1-5% din audiența site-urilor mari.
Let's Encrypt nu intenționează să încheie un nou acord de semnătură încrucișată, deoarece aceasta impune o mare responsabilitate suplimentară părților la acord, le privează de independență și le leagă mâinile în ceea ce privește respectarea tuturor procedurilor și regulilor unei alte autorități de certificare.
În plus, șiAm o problemă cu actualizarea vechilor dispozitive Android Probabil că nu va dispărea și acordul încrucișat va trebui să fie reînnoit din nou și din nou.
Începând cu 11 ianuarie 2021, se vor aduce modificări API-ului Let's Encrypt iar în mod implicit, clienții ACME vor primi certificate ISRG Root X1 fără semnare încrucișată.
Utilizatorii preocupați de compatibilitate vor avea posibilitatea de a solicita un certificat alternativ, autentificat folosind vechea schemă de validare încrucișată, dar astfel de certificate vor fi în continuare limitate de durata de viață a certificatului rădăcină cu semnătură încrucișată (1 septembrie 2021).
Ca soluție, Utilizatorilor de dispozitive Android mai vechi li se recomandă să treacă la browserul Firefox, care are propriul magazin de certificate rădăcină actualizat.
Dar Firefox nu acceptă Android 4.x (aproximativ 2% din dispozitivele Android active) și poate rula doar pe Android 5.0 sau mai nou.
Proprietarii de site-uri care nu doresc să accepte pierderea suportului pentru telefoanele Android mai vechi li se recomandă să proceseze solicitările de la dispozitive Android mai vechi prin HTTP sau să treacă la un CA care acceptă versiuni mai vechi de Android.
Iată cum a anunțat Let's Encrypt:
„Rădăcina DST
Cu toate acestea, această modificare completă a certificatului propriu al Let's Encrypt nu va fi lipsită de consecințe.
„Unele programe care nu au fost actualizate din 2016 (pe când rădăcina noastră a fost acceptată de multe programe rădăcină) încă nu are încredere în certificatul nostru rădăcină, ISRG Root X1”, a explicat Jacob Hoffman-Andrews (dezvoltator senior la Let's Encrypt și senior tehnolog la Electronic Frontier Foundation) într-un anunț.
„Acest lucru include în special versiunile Android anterioare versiunii 7.1.1. Aceasta înseamnă că aceste versiuni mai vechi de Android nu vor mai avea încredere în certificatele emise de Let's Encrypt.”
„Pentru browserul încorporat al unui telefon Android, lista certificatelor rădăcină de încredere provine de la sistemul de operare, care este învechit pe aceste telefoane mai vechi. Cu toate acestea, Firefox este în prezent unic printre browsere: vine cu propria sa listă de certificate rădăcină de încredere. Deci, oricine instalează cea mai recentă versiune de Firefox beneficiază de o listă actualizată a autorităților de certificare de încredere, chiar dacă sistemul lor de operare este depășit”, potrivit Hoffman-Andrews.
Notificarea este, de asemenea, direcționată către unii proprietari de site-uri web care primesc reclamații ale utilizatorilor, astfel încât aceștia să se poată pregăti pentru schimbare. Let's Encrypt îi încurajează să implementeze o soluție intermediară (trecerea la lanțul de certificate alternativ) pentru a-și menține site-ul funcțional în timp ce evaluează de ce au nevoie pentru o soluție pe termen lung.
Fuente: https://letsencrypt.org