Let's Encrypt แก้ปัญหาใบรับรองบนอุปกรณ์ Android รุ่นเก่า

เมื่อหลายสัปดาห์ก่อน เราแบ่งปันข่าวที่ Let's Encrypt ในบล็อก (หน่วยงานรับรองที่ไม่แสวงหาผลกำไรที่ควบคุมโดยชุมชนซึ่งให้ใบรับรองฟรีสำหรับทุกคน) เตือนผู้ใช้เกี่ยวกับการเปลี่ยนแปลงในการสร้างลายเซ็นที่ใกล้เข้ามา ซึ่งจะทำให้เกิดปัญหาและสูญเสียความเข้ากันได้กับอุปกรณ์ Android ประมาณ 33% ที่ใช้งานอยู่

และนี่เป็นเพราะมันกำลังประกาศการเปลี่ยนแปลงไปสู่การสร้างลายเซ็นโดยใช้ใบรับรองหลักเท่านั้นโดยไม่ใช้ใบรับรองที่ลงนามโดยผู้ออกใบรับรอง IdenTrust

มีการกล่าวว่าในวันที่ 11 มกราคม 2021 จะมีการเปลี่ยนแปลงใน Let's Encrypt API และโดยค่าเริ่มต้นลูกค้า ACME จะได้รับใบรับรอง ISRG Root X1 โดยไม่ต้องลงนามข้าม

ใบรับรองรูท Let's Encrypt ประเภทใหม่ได้รับการกล่าวถึงว่าเข้ากันได้กับเบราว์เซอร์สมัยใหม่ทั้งหมด แต่ได้รับการยอมรับว่าเป็น Android 7.1.1 ซึ่งเปิดตัวเมื่อปลายปี 2016 เท่านั้น (หากคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับข่าวนี้คุณสามารถปรึกษา สิ่งพิมพ์ ในลิงค์ต่อไปนี้).

แต่ตอนนี้ Let's Encrypt ประกาศว่าแผนได้รับการแก้ไขแล้ว และความเข้ากันได้กับอุปกรณ์ Android รุ่นเก่าจะดำเนินต่อไปอย่างน้อยสามปี

การเปลี่ยนแปลง API กำหนดไว้สำหรับวันที่ 11 มกราคมซึ่งหมายถึงการเปลี่ยนไปใช้การออกใบรับรองเริ่มต้นที่รับรองโดยใบรับรองหลัก ISRG Root X1 โดยไม่มีลายเซ็นไขว้ เลื่อนออกไปเป็นเดือนมิถุนายน 2021

เรายินดีที่จะแจ้งให้ทราบว่าเราได้พัฒนาวิธีสำหรับอุปกรณ์ Android รุ่นเก่าในการรักษาความสามารถในการเยี่ยมชมไซต์ที่ใช้ใบรับรอง Let's Encrypt หลังจากที่โบรกเกอร์ที่ลงนามข้ามระบบของเราหมดอายุ เราไม่ได้วางแผนการเปลี่ยนแปลงใด ๆ ในเดือนมกราคมอีกต่อไปซึ่งอาจทำให้เกิดปัญหาความเข้ากันได้สำหรับสมาชิก Let's Encrypt

ในเวลาเดียวกัน ได้รับการตัดสินใจเป็นตัวเลือกในการเสนอความเป็นไปได้ในการขอใบรับรองอื่นได้รับการรับรองตามรูปแบบการตรวจสอบความถูกต้องข้ามระบบแบบเก่าและรักษาความเข้ากันได้กับอุปกรณ์ในที่เก็บใบรับรองหลักซึ่งยังไม่มีการเพิ่มใบรับรอง Let's Encrypt

ใบรับรองทางเลือกจะถูกสร้างขึ้นในปลายเดือนมกราคมหรือต้นเดือนกุมภาพันธ์ 2021 เป็นส่วนหนึ่งของข้อตกลงเพิ่มเติมกับหน่วยงานรับรองของ IdenTrust นอกจากใบรับรองรูท ISRG Root X1 ที่เป็นของ Let's Encrypt แล้วใบรับรองนี้จะได้รับการเซ็นชื่อข้ามโดยใช้ใบรับรอง DST Root CA X3 ของ IdenTrust

ลายเซ็นไขว้ จะมีอายุสามปี ซึ่งน้อยกว่าระยะเวลาที่มีผลบังคับใช้ของใบรับรองหลัก ISRG Root X1

เนื่องจากลายเซ็นไขว้จะหมดอายุก่อนลายเซ็นด้วยใบรับรองหลัก Let's Encrypt ปัญหาที่คล้ายกับเหตุการณ์ที่เกิดขึ้นกับใบรับรองหลักของ AddTrust ที่ใช้สำหรับใบรับรองการลงนามข้ามจากหน่วยงานรับรอง Sectigo (Comodo ).

เบราว์เซอร์จัดการการหมดอายุของใบรับรองข้าม AddTrust อย่างถูกต้อง แต่มันทำให้เกิดปัญหาใหญ่ในระบบ OpenSSL และ GnuTLS แม้ว่าใบรับรองหลักของ Comodo ยังคงถูกต้องและห่วงโซ่แห่งความไว้วางใจกับใบรับรองปัจจุบันยังคงอยู่

เพื่อให้แน่ใจว่าใบรับรอง Let's Encrypt ใหม่ไม่ได้สร้างปัญหาความเข้ากันได้ที่คล้ายกันผู้ออกใบรับรอง IdenTrust และ Let's Encrypt ตั้งใจที่จะตรวจสอบรูปแบบการใช้งานโดยใช้ผู้ตรวจสอบภายนอก

โปรดทราบว่าใบรับรองหลักที่เป็นของ Let's Encrypt เข้ากันได้กับเบราว์เซอร์ที่ทันสมัยทั้งหมด แต่ได้รับการยอมรับว่าเป็นแพลตฟอร์ม Android 7.1.1 ซึ่งเปิดตัวเมื่อปลายปี 2016 จากสถิติที่มีอยู่มีเพียง 66,2% ของ อุปกรณ์ Android ทั้งหมดใช้ Android 7.1 และเวอร์ชันที่ใหม่กว่า

33,8% ของอุปกรณ์ Android ที่ใช้งานไม่มีข้อมูลจากใบรับรองหลักของ Let's Encrypt นั่นคือต้องมีใบรับรองที่ลงนามเพิ่มเติมพร้อมใบรับรองรูทที่เข้ากันได้กับ Android เวอร์ชันก่อนหน้าเพื่อให้ทำงานต่อไปได้อย่างถูกต้อง หากคุณพยายามเปิดไซต์ที่ลงนามด้วยใบรับรองหลัก Let's Encrypt บนอุปกรณ์เหล่านั้นเท่านั้นข้อผิดพลาดจะปรากฏขึ้น

ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม คุณสามารถตรวจสอบรายละเอียดของข่าวในบันทึกต้นฉบับซึ่งคุณสามารถเข้าถึงได้ที่ ลิงค์ต่อไปนี้