Давайте зашифровать (контролируемый сообществом некоммерческий центр сертификации, который предоставляет бесплатные сертификаты всем) объявил о следующем переходе на генерацию подписей используя только ваш корневой сертификат, без использования сертификата, подписанного центром сертификации IdenTrust.
Корневой сертификат Let's Encrypt Он совместим со всеми современными браузерами, но распознается только в Android 7.1.1, выпущенном в конце 2016 года.
Проблема в том, что по имеющейся статистике только 66,2% всех устройств Android используют Android 7.1 и более новые версии..
Таким образом, 33,8% используемых устройств Android не имеют данных в корневом сертификате Let's Encrypt, и по истечении срока действия сертификата с перекрестной подписью при попытке открыть сайты с использованием сертификатов Let's Encrypt на этих устройствах будет отображаться ошибка. .
Процент пользователей Android, которые не принимают корневой сертификат Let's Encrypt, составляет от 1% до 5% аудитории крупных сайтов.
Let's Encrypt не намерен заключать новое соглашение о перекрестной подписи, поскольку это налагает большую дополнительную ответственность на стороны соглашения, лишает их независимости и связывает им руки при соблюдении всех процедур и правил другого удостоверяющего органа.
Кроме того, иl Проблема с обновлением старых устройств Android Вероятно, это никуда не денется, и перекрестное соглашение придется возобновлять снова и снова.
С 11 января 2021 года в Let's Encrypt API будут внесены изменения. и по умолчанию клиенты ACME будут получать сертификаты ISRG Root X1 без перекрестной подписи.
Пользователи, заботящиеся о совместимости, будут иметь возможность запросить альтернативный сертификат, аутентифицированный с использованием старой схемы перекрестной проверки, но такие сертификаты будут по-прежнему ограничены сроком действия перекрестно подписанного корневого сертификата (1 сентября 2021 г.).
В качестве решения Пользователям старых устройств Android рекомендуется перейти на браузер Firefox, который имеет собственное обновленное хранилище корневых сертификатов.
Но Firefox не поддерживает Android 4.x (около 2% активных устройств Android) и может работать только на Android 5.0 или новее.
Владельцам сайтов, которые не хотят мириться с потерей совместимости со старыми телефонами Android, рекомендуется обрабатывать запросы от старых устройств Android по протоколу HTTP или переключаться на центр сертификации, совместимый со старыми версиями Android.
Вот как объявили Let's Encrypt:
«Корневой сертификат DST Root X3, который мы доверяем загрузке, истекает 1 сентября 2021 года. К счастью, мы готовы встать и полагаться исключительно на наш собственный корневой сертификат».
Однако это полное изменение самого сертификата Let's Encrypt не пройдет без последствий.
«Некоторое программное обеспечение, которое не обновлялось с 2016 года (примерно тогда, когда наш корень был принят многими корневыми программами), все еще не доверяет нашему корневому сертификату ISRG Root X1», - объяснил Джейкоб Хоффман-Эндрюс (старший разработчик Let's Encrypt и старший технолог в Electronic Frontier Foundation) в уведомлении.
«Сюда входят, в частности, версии Android до версии 7.1.1. Это означает, что эти старые версии Android больше не будут доверять сертификатам, выданным Let's Encrypt ».
«Для встроенного браузера на телефоне Android список доверенных корневых сертификатов поступает из операционной системы, которая устарела на этих старых телефонах. Однако Firefox в настоящее время уникален среди браузеров: он поставляется со своим собственным списком доверенных корневых сертификатов. По словам Хоффмана-Эндрюса, любой, кто устанавливает последнюю версию Firefox, получает пользу от обновленного списка доверенных центров сертификации, даже если его операционная система устарела.
Уведомление также адресовано некоторым владельцам веб-сайтов, которые получают жалобы от пользователей, чтобы они могли подготовиться к изменению. Let's Encrypt рекомендует им реализовать временное решение (переключиться на альтернативную цепочку сертификатов), чтобы поддерживать работоспособность своего сайта, пока они оценивают, что им нужно для долгосрочного решения.
источник: https://letsencrypt.org