Acum câteva săptămâni Împărtășim aici pe blog știrea că Let's Encrypt (o autoritate de certificare non-profit, controlată de comunitate, care oferă certificate gratuit tuturor) a avertizat utilizatorii despre o schimbare iminentă în generarea semnăturii, ceea ce ar cauza probleme și, mai ales, pierderea compatibilității cu aproximativ 33% dintre dispozitivele Android aflate în uz.
Și asta pentru că a anunțat tranziția de a genera semnături folosind doar certificatul său rădăcină, fără a utiliza un certificat semnat încrucișat de autoritatea de certificare IdenTrust.
S-a menționat că începând cu 11 ianuarie 2021 se vor face modificări la API-ul Let's Encrypt. iar în mod implicit, clienții ACME vor primi certificate ISRG Root X1 fără semnare încrucișată.
Noul tip de certificat rădăcină Let's Encrypt a fost menționat ca fiind compatibil cu toate browserele moderne, dar este recunoscut doar începând cu Android 7.1.1, lansat la sfârșitul anului 2016 (dacă doriți să aflați mai multe despre noutăți, puteți consulta publicația În următorul link).
Dar acum Let's Encrypt a anunțat că planul a fost revizuit iar compatibilitatea cu dispozitivele Android mai vechi va continua cel puțin încă trei ani.
Modificarea API-ului programată pentru 11 ianuarie, ceea ce presupune trecerea la emiterea implicită a certificatelor certificate doar prin certificatul rădăcină ISRG Root X1, fără semnare încrucișată, a fost amânat pentru iunie 2021.
Suntem încântați să anunțăm că am dezvoltat o modalitate prin care dispozitivele Android mai vechi să își păstreze capacitatea de a vizita site-uri care utilizează certificate Let's Encrypt după expirarea intermediarilor noștri cu semnătură încrucișată. Nu mai planificăm nicio modificare în ianuarie care ar putea cauza probleme de compatibilitate pentru abonații Let's Encrypt.
În același timp, S-a decis ca opțiune să se ofere posibilitatea solicitării unui certificat alternativ, certificat conform vechii scheme de validare încrucișată și păstrând suport pentru dispozitivele din depozitul de certificate rădăcină cărora nu li s-a adăugat certificatul Let's Encrypt.
Un certificat alternativ va fi generat la sfârșitul lunii ianuarie sau începutul lunii februarie 2021 ca parte a unui acord suplimentar cu autoritatea de certificare IdenTrust. În plus față de certificatul rădăcină ISRG Root X1 aparținând Let's Encrypt, acest certificat va fi semnat încrucișat folosind certificatul DST Root CA X3 de la IdenTrust.
Semnătura în cruce va fi valabil trei ani, care este mai mică decât perioada de valabilitate a certificatului principal ISRG Root X1.
Deoarece semnarea încrucișată va expira înainte de semnarea cu certificatul principal Let's Encrypt, pot apărea probleme similare cu incidentul cu expirarea certificatului rădăcină AddTrust utilizat pentru semnarea încrucișată pe certificatele de la autoritatea de certificare Sectigo (Comodo).
Browserele au gestionat corect expirarea certificatului încrucișat AddTrust, dar a provocat blocări masive pe sistemele cu OpenSSL și GnuTLS, chiar dacă certificatul principal Comodo rădăcină era încă valabil și lanțul de încredere cu certificatul actual a persistat.
Pentru a se asigura că noul certificat Let's Encrypt nu creează probleme similare de compatibilitate, autoritățile de certificare IdenTrust și Let's Encrypt intenționează să revizuiască schema implementată folosind auditori terți.
Ca o amintire, certificatul rădăcină deținut de Let's Encrypt este acceptat de toate browserele moderne, dar este recunoscut doar începând cu platforma Android 7.1.1, lansată la sfârșitul anului 2016. Conform statisticilor disponibile, doar 66,2% din Toate dispozitivele Android utilizați Android 7.1 și versiuni mai noi.
33,8% dintre dispozitivele Android utilizate nu au date din certificatul rădăcină Let's Encrypt, adică necesită un certificat semnat suplimentar cu un certificat rădăcină compatibil cu versiunile mai vechi de Android pentru a continua să funcționeze corect. Dacă încercați să deschideți site-uri semnate numai cu certificatul rădăcină Let's Encrypt pe astfel de dispozitive, va fi afișată o eroare.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre asta Puteți consulta detaliile știrilor în nota originală pe care o puteți accesa la următorul link.