Хајде да шифрирамо (непрофитно тело за овјеру под контролом заједнице које свима пружа бесплатне цертификате) најавио следећи прелаз за генерисање потписа користећи само свој коренски сертификат, без употребе сертификата који је унакрсно потписао орган за издавање сертификата ИденТруст.
Корен сертификат Лет'с Енцрипт Компатибилан је са свим модерним прегледачима, али препознат је тек као Андроид 7.1.1, објављен крајем 2016. године.
Проблем је у томе што, према доступним статистикама, само 66,2% свих Андроид уређаја користи Андроид 7.1 и новије верзије.
Према томе, 33,8% Андроид уређаја који се користе нема података у коријенском сертификату Лет'с Енцрипт и када искрсне потписани цертификат истекне, приказаће се грешка при покушају отварања локација помоћу Лет'с Енцрипт сертификата на тим уређајима. .
Процењује се да проценат корисника Андроид-а који не прихватају роот сертификат Лет'с Енцрипт износи између 1 и 5% публике за велике веб локације.
Лет'с Енцрипт не намерава да закључи нови уговор о унакрсном потписивању, јер ово намеће велику додатну одговорност странама у споразуму, лишава их независности и везује руке у поштовању свих поступака и правила другог органа за овјеру.
Осим тога, ил Проблем са ажурирањем старих Андроид уређаја Вероватно неће нестати и укрштени споразум ће морати да се обнавља изнова и изнова.
Од 11. јануара 2021. године извршиће се промена АПИ-ја Лет'с Енцрипт а подразумевано ће купци АЦМЕ добити ИСРГ Роот Кс1 сертификате без унакрсног потписивања.
Корисници забринути због компатибилности имаће прилику да затраже алтернативни сертификат, потврђен аутентичношћу помоћу старе шеме унакрсне провере, али такви сертификати ће и даље бити ограничени животним веком укрштено потписаног матичног сертификата (1. септембра 2021).
Као решење, Корисницима старијих Андроид уређаја се саветује да пређу на прегледач Фирефок, која има своје ажурирано складиште коренских сертификата.
Али Фирефок не подржава Андроид 4.к (око 2% активних Андроид уређаја) и може да ради само на Андроиду 5.0 или новијем.
Власницима веб локација који не желе да прихвате губитак компатибилности са старијим Андроид телефонима саветује се да обрађују захтеве са старијих Андроид уређаја преко ХТТП-а или да пређу на ЦА који је компатибилан са старијим верзијама Андроид-а.
Ево како је најављено Лет'с Енцрипт:
„ДСТ Роот Кс3 роот сертификат за који верујемо да ће се покренути истиче 1. септембра 2021. Срећом, спремни смо да устанемо и ослонимо се искључиво на сопствени роот сертификат.“
Међутим, ова комплетна промена самог сертификата Лет'с Енцрипт неће остати без последица.
„Неки софтвери који нису ажурирани од 2016. године (отприлике када су многи роот програми прихватили наш роот) још увек немају поверења у наш роот сертификат, ИСРГ Роот Кс1“, објаснио је Јацоб Хоффман-Андревс (старији програмер у програму Лет'с Енцрипт и старији технолог у Елецтрониц Фронтиер Фоундатион) у обавештењу.
„То укључује посебно верзије Андроид-а пре верзије 7.1.1. То значи да ове старије верзије Андроида више неће веровати сертификатима издатих од стране Лет'с Енцрипт ”.
„За уграђени прегледач на Андроид телефону, листа поузданих роот сертификата долази из оперативног система, који је застарео на овим старијим телефонима. Међутим, Фирефок је тренутно јединствен међу прегледачима: долази са сопственом листом поузданих роот сертификата. Дакле, свако ко инсталира најновију верзију Фирефока има користи од ажурне листе поузданих издавача сертификата, чак и ако је њихов оперативни систем застарео “, према Хоффман-Андревс-у.
Обавештење је такође упућено неким власницима веб локација који примају жалбе од корисника како би се могли припремити за промену. Лет'с Енцрипт их охрабрује да примене привремено решење (пређу на алтернативни ланац сертификата) како би њихова веб локација била активна док процењују шта им је потребно за дугорочно решење.
izvor: https://letsencrypt.org