Pred nekaj tedni tu na blogu delimo novico, da Let's Encrypt (neprofitni certifikacijski organ pod nadzorom skupnosti, ki vsem ponuja certifikate brezplačno) opozoril uporabnike na skorajšnjo spremembo v podpisovanju, kar bi povzročilo težave in predvsem izgubo združljivosti s približno 33% naprav Android, ki so v uporabi.
In to zato, ker je oglaševal prehod na ustvarjanje podpisov z uporabo samo svojega korenskega potrdila, ne da bi uporabljal potrdilo, ki ga je navzkrižno podpisal overitelj IdenTrust.
Omenjeno je bilo, da se bodo 11. januarja 2021 spremenili API-ji Let's Encrypt privzeto pa bodo stranke ACME prejele certifikate ISRG Root X1 brez navzkrižnega podpisa.
Nova vrsta korenskega potrdila Let's Encrypt je bila omenjena kot združljiva z vsemi sodobnimi brskalniki, vendar je prepoznana šele v Androidu 7.1.1, ki je izšel konec leta 2016 (če želite izvedeti več o novicah, se lahko posvetujete z objave V naslednji povezavi).
Ampak zdaj, Let's Encrypt je sporočil, da je bil načrt popravljen in da se bo združljivost s starejšimi napravami Android nadaljevala še vsaj tri leta.
Sprememba API-ja načrtovan za 11. januar, kar pomeni prehod na privzeto izdajo potrdil, potrjenih samo s korenskim certifikatom ISRG Root X1, brez navzkrižnega podpisa, je bilo prestavljeno na junij 2021.
Z veseljem sporočamo, da smo razvili način za starejše naprave Android, da obdržijo sposobnost obiskovanja spletnih mest, ki uporabljajo certifikate Let's Encrypt, ko potečejo naši navzkrižno podpisani posredniki. Januarja ne načrtujemo več sprememb, ki bi lahko povzročile težave z združljivostjo naročnikov Let's Encrypt.
Hkrati odločeno je bilo, da se ponudi možnost, da se zahteva alternativno potrdilo, certificiran po stari shemi navzkrižne potrditve in ohranja združljivost z napravami v korenski shrambi potrdil, ki jim nismo dodali potrdila Let's Encrypt
Nadomestno potrdilo bo pridobljeno konec januarja ali v začetku februarja 2021 kot del dodatnega dogovora s certifikacijskim organom IdenTrust. Poleg korenskega certifikata ISRG Root X1, ki pripada Let's Encrypt, bo to potrdilo navzkrižno podpisano z uporabo IdenTrustovega certifikata DST Root CA X3.
Križni podpis veljal bo tri leta, kar je krajše od obdobja veljavnosti primarnega korenskega certifikata ISRG Root X1.
Ker bo navzkrižni podpis potekel pred podpisom glavnega korenskega potrdila Let's Encrypt, težave, podobne incidentu s korenskim potrdilom AddTrust, ki se uporablja za potrdila za navzkrižno podpisovanje s strani certifikacijskega organa Sectigo (Comodo ).
Brskalniki so pravilno obdelali potek certifikata AddTrust, vendar je povzročil velike zrušitve v sistemih OpenSSL in GnuTLS, čeprav je glavno korensko potrdilo Comodo še vedno veljalo in je veriga zaupanja s trenutnim potrdilom obstajala.
Da bi zagotovili, da novo potrdilo Let's Encrypt ne bo povzročalo podobnih težav z združljivostjo, nameravata overitelji IdenTrust in Let's Encrypt pregledati izvedeno shemo z uporabo zunanjih revizorjev.
Spominjamo, da je korensko potrdilo v lasti Let's Encrypt združljivo z vsemi sodobnimi brskalniki, vendar je prepoznano šele kot platforma Android 7.1.1, izdana konec leta 2016. Po razpoložljivih statističnih podatkih naj bi le 66,2% Vse naprave Android uporabljajo Android 7.1 in novejše različice.
33,8% uporabljenih naprav Android nima podatkov iz korenskega potrdila Let's Encrypt, to pomeni, da za nadaljnje pravilno delovanje potrebujejo dodatno podpisano potrdilo s korenskim potrdilom, združljivim s prejšnjimi različicami Androida. Če poskusite na teh napravah odpreti spletna mesta, podpisana samo s korenskim potrdilom Let's Encrypt, bo prikazana napaka.
Končno, če vas zanima več o tem Podrobnosti novic lahko preverite v izvirni opombi, do katere lahko dostopate naslednjo povezavo.