För några veckor sedan vi delar här på bloggen nyheterna om Låt oss kryptera (en ideell, samhällsstyrd certifieringsmyndighet som tillhandahåller certifikat gratis för alla) varnade användare för en överhängande förändring av signaturgenerering, vilket skulle orsaka problem och särskilt förlust av kompatibilitet med cirka 33% av Android-enheterna som används.
Och det berodde på att det annonserade övergången till att skapa signaturer med endast sitt rotcertifikat, utan att använda ett certifikat korssignerat av IdenTrust-certifikatutfärdaren.
Det nämndes att ändringar kommer att göras i Let's Encrypt API från och med den 11 januari 2021 och som standard kommer ACME-kunder att få ISRG Root X1-certifikat utan korssignering.
Den nya typen av Let's Encrypt root-certifikat nämndes vara kompatibel med alla moderna webbläsare, men det känns bara igen från Android 7.1.1, släppt i slutet av 2016 (om du vill veta mer om nyheterna kan du konsultera publikationen I följande länk).
Men nu, Let's Encrypt meddelade att planen har reviderats och att kompatibilitet med äldre Android-enheter kommer att fortsätta i minst tre år till.
API-ändringen planerad till 11 januari, vilket innebär en övergång till standardutfärdande av certifikat som endast certifierats av rotcertifikatet ISRG Root X1, utan korssignatur, har skjutits upp till juni 2021.
Vi är glada att meddela att vi har utvecklat ett sätt för äldre Android-enheter att behålla sin förmåga att besöka webbplatser som använder Låt oss kryptera certifikat efter att våra korssignerade mäklare löper ut. Vi planerar inte längre några ändringar i januari som kan orsaka kompatibilitetsproblem för Let's Encrypt-prenumeranter.
Samtidigt, det beslutades som ett alternativ att erbjuda möjligheten att begära ett alternativt certifikat, certifierat enligt det gamla korsvalideringsschemat och upprätthåller kompatibilitet med enheter i rotcertifikatlagret till vilket Låt oss kryptera certifikatet inte har lagts till.
Ett alternativt certifikat genereras i slutet av januari eller början av februari 2021 som en del av ett ytterligare avtal med IdenTrust-certifieringsmyndigheten. Förutom ISRG Root X1-rotcertifikat som tillhör Let's Encrypt kommer detta certifikat att korssigneras med IdenTrusts DST Root CA X3-certifikat.
Korssignaturen det kommer att gälla i tre år, vilket är mindre än giltighetsperioden för det primära rotcertifikatet ISRG Root X1.
Eftersom korssignaturen upphör att gälla före signaturen med huvud Låt oss kryptera rotcertifikat, är det möjligt att problem som liknar händelsen med utgången av AddTrust-rootcertifikat som används för korssignering i certifikat från Sectigo-certifikatutfärdaren (Comodo ).
Webbläsarna hanterade korrekt utgången av AddTrust-korscertifikat, men det orsakade massiva kraschar på OpenSSL- och GnuTLS-system, även om Comodos huvudcertifikat fortfarande var giltigt och förtroendekedjan med det aktuella certifikatet kvarstod.
För att säkerställa att det nya Let's Encrypt-certifikatet inte skapar liknande kompatibilitetsproblem, har IdenTrust och Let's Encrypt-certifikatmyndigheterna för avsikt att granska det implementerade schemat med externa revisorer.
Som en påminnelse är rotcertifikatet som ägs av Let's Encrypt kompatibelt med alla moderna webbläsare, men det känns bara igen från Android 7.1.1-plattformen, släppt i slutet av 2016. Enligt tillgänglig statistik är endast 66,2% av Alla Android-enheter använder Android 7.1 och nyare versioner.
33,8% av Android-enheter som används har inte data från Låt oss kryptera rotcertifikat, det vill säga de behöver ett extra signerat certifikat med ett rootcertifikat som är kompatibelt med tidigare versioner av Android för att fortsätta fungera korrekt. Om du försöker öppna webbplatser som endast är signerade med Let's Encrypt root-certifikat på dessa enheter visas ett fel.
Slutligen, om du är intresserad av att veta mer om det Du kan kontrollera information om nyheterna i den ursprungliga anteckningen som du kan komma åt i följande länk.