ขอเข้ารหัส (หน่วยงานรับรองที่ไม่แสวงหาผลกำไรที่ควบคุมโดยชุมชนซึ่งให้ใบรับรองฟรีแก่ทุกคน) ประกาศการเปลี่ยนแปลงครั้งต่อไปเพื่อสร้างลายเซ็น ใช้เฉพาะใบรับรองหลักของคุณโดยไม่ต้องใช้ใบรับรองที่ลงนามโดยผู้ออกใบรับรอง IdenTrust
ใบรับรองหลัก Let's Encrypt เข้ากันได้กับเบราว์เซอร์ที่ทันสมัยทั้งหมด แต่ได้รับการยอมรับว่าเป็น Android 7.1.1 ซึ่งเปิดตัวในปลายปี 2016
ปัญหาคือตามสถิติที่มีอยู่ มีเพียง 66,2% ของอุปกรณ์ Android ทั้งหมดที่ใช้ Android 7.1 และเวอร์ชันที่ใหม่กว่า.
ดังนั้น 33,8% ของอุปกรณ์ Android ที่ใช้งานอยู่จึงไม่มีข้อมูลในใบรับรองรูทของ Let's Encrypt และเมื่อใบรับรองการเซ็นชื่อข้ามหมดอายุข้อผิดพลาดจะแสดงขึ้นเมื่อพยายามเปิดไซต์โดยใช้ใบรับรอง Let's Encrypt บนอุปกรณ์เหล่านั้น .
เปอร์เซ็นต์ของผู้ใช้ Android ที่ไม่ยอมรับใบรับรองหลักของ Let's Encrypt นั้นคาดว่าจะอยู่ที่ประมาณ 1% ถึง 5% ของผู้ชมสำหรับไซต์ขนาดใหญ่
Let's Encrypt ไม่ได้ตั้งใจที่จะสรุปข้อตกลงข้ามลายเซ็นใหม่ เนื่องจากเป็นการเพิ่มความรับผิดชอบเพิ่มเติมอย่างมากให้กับคู่สัญญาในข้อตกลงนี้ทำให้พวกเขาขาดความเป็นอิสระและผูกมือกันในการปฏิบัติตามขั้นตอนและกฎเกณฑ์ทั้งหมดของหน่วยงานรับรองอื่น
นอกจากนี้และl ปัญหาในการอัปเดตอุปกรณ์ Android รุ่นเก่า มันอาจจะไม่หายไปและข้อตกลงข้ามจะต้องได้รับการต่ออายุซ้ำแล้วซ้ำเล่า
ตั้งแต่วันที่ 11 มกราคม 2021 จะมีการเปลี่ยนแปลง Let's Encrypt API และโดยค่าเริ่มต้นลูกค้า ACME จะได้รับใบรับรอง ISRG Root X1 โดยไม่ต้องลงนามข้าม
ผู้ใช้ที่กังวลเกี่ยวกับความเข้ากันได้จะมีโอกาสที่จะขอใบรับรองอื่นซึ่งได้รับการรับรองความถูกต้องโดยใช้รูปแบบการตรวจสอบความถูกต้องข้ามแบบเก่า แต่ใบรับรองดังกล่าวจะยังคงถูก จำกัด โดยอายุการใช้งานของใบรับรองหลักแบบ cross-signed (1 กันยายน 2021)
เป็นวิธีแก้ปัญหา ผู้ใช้อุปกรณ์ Android รุ่นเก่าควรเปลี่ยนไปใช้เบราว์เซอร์ Firefox ซึ่งมีที่เก็บใบรับรองหลักที่อัปเดตเป็นของตัวเอง
แต่ Firefox ไม่รองรับ Android 4.x (ประมาณ 2% ของอุปกรณ์ Android ที่ใช้งานอยู่) และสามารถทำงานบน Android 5.0 หรือใหม่กว่าเท่านั้น
เจ้าของไซต์ที่ไม่เต็มใจยอมรับการสูญเสียความเข้ากันได้กับโทรศัพท์ Android รุ่นเก่าควรดำเนินการตามคำขอจากอุปกรณ์ Android รุ่นเก่าผ่าน HTTP หรือเปลี่ยนไปใช้ CA ที่เข้ากันได้กับ Android เวอร์ชันเก่า
นี่คือวิธีที่ Let's Encrypt ประกาศ:
"ใบรับรองรูท DST Root X3 ที่เราเชื่อถือในการบูตจะหมดอายุในวันที่ 1 กันยายน 2021 โชคดีที่เราพร้อมที่จะยืนหยัดและพึ่งพาใบรับรองหลักของเราเอง แต่เพียงผู้เดียว"
อย่างไรก็ตามการเปลี่ยนแปลงใบรับรอง Let's Encrypt โดยสมบูรณ์นี้จะไม่เกิดขึ้นโดยไม่มีผล
"ซอฟต์แวร์บางตัวที่ยังไม่ได้รับการอัปเดตตั้งแต่ปี 2016 (ในช่วงที่รูทของเราได้รับการยอมรับจากโปรแกรมรูทหลาย ๆ โปรแกรม) ยังคงไม่เชื่อถือใบรับรองรูทของเรา ISRG Root X1" จาค็อบฮอฟแมน - แอนดรูส์ (นักพัฒนาอาวุโสของ Let's Encrypt และนักเทคโนโลยีอาวุโสของ Electronic Frontier Foundation) ในประกาศ
“ ซึ่งรวมถึง Android เวอร์ชันก่อนหน้าเวอร์ชัน 7.1.1 โดยเฉพาะ ซึ่งหมายความว่า Android เวอร์ชันเก่าเหล่านี้จะไม่เชื่อถือใบรับรองที่ออกโดย Let's Encrypt อีกต่อไป”
“ สำหรับเบราว์เซอร์ในตัวบนโทรศัพท์ Android รายการใบรับรองหลักที่เชื่อถือได้มาจากระบบปฏิบัติการซึ่งล้าสมัยในโทรศัพท์รุ่นเก่าเหล่านี้ อย่างไรก็ตาม Firefox มีลักษณะเฉพาะของเบราว์เซอร์โดยมาพร้อมกับรายการใบรับรองหลักที่เชื่อถือได้ ดังนั้นใครก็ตามที่ติดตั้ง Firefox เวอร์ชันล่าสุดจะได้รับประโยชน์จากรายชื่อผู้ออกใบรับรองที่เชื่อถือได้แม้ว่าระบบปฏิบัติการของพวกเขาจะล้าสมัยก็ตาม
นอกจากนี้ประกาศดังกล่าวยังส่งไปยังเจ้าของเว็บไซต์บางรายที่ได้รับการร้องเรียนจากผู้ใช้เพื่อให้พวกเขาเตรียมพร้อมสำหรับการเปลี่ยนแปลง Let's Encrypt สนับสนุนให้พวกเขาใช้โซลูชันชั่วคราว (เปลี่ยนไปใช้สายการรับรองอื่น) เพื่อให้ไซต์ของพวกเขาทำงานได้ในขณะที่พวกเขาประเมินสิ่งที่พวกเขาต้องการสำหรับโซลูชันระยะยาว
Fuente: https://letsencrypt.org