Ilang linggo na ang nakakalipas ibinabahagi namin dito sa blog ang balita na Let's Encrypt (isang non-profit, kontrol sa pamamahala na kinokontrol ng pamayanan na nagbibigay ng mga sertipiko nang libre sa lahat) binalaan ang mga gumagamit ng isang napipintong pagbabago sa pagbuo ng lagda, na kung saan ay magiging sanhi ng mga problema at higit sa lahat pagkawala ng pagiging tugma sa humigit-kumulang na 33% ng mga Android device na ginagamit.
At ito ay dahil inihayag nito ang paglipat sa pagbuo ng mga lagda gamit ang root certificate lamang nito, nang hindi gumagamit ng sertipiko na cross-sign ng awtoridad ng sertipiko ng IdenTrust.
Nabanggit na hanggang Enero 11, 2021, ang mga pagbabago ay gagawin sa Let's Encrypt API at bilang default, ang mga customer ng ACME ay makakatanggap ng mga sertipiko ng ISRG Root X1 nang walang pag-sign ng cross.
Ang bagong uri ng sertipiko ng ugat na Let's Encrypt ay nabanggit upang maging katugma sa lahat ng mga modernong browser, ngunit kinikilala lamang ito sa Android 7.1.1, na inilabas sa pagtatapos ng 2016 (kung nais mong malaman ang tungkol sa balita, maaari kang kumunsulta ang publication Sa sumusunod na link).
Pero ngayon, Inanunsyo ng Encrypt ng Let's na ang plano ay nabago at ang pagiging tugma sa mga mas matandang Android device ay magpapatuloy nang hindi bababa sa tatlong higit pang mga taon.
Ang pagbabago ng API na naka-iskedyul para sa Enero 11, na nagpapahiwatig ng isang paglipat sa default na pagbibigay ng mga sertipiko na sertipikado lamang ng root certificate na ISRG Root X1, nang walang cross-signature, ay ipinagpaliban sa Hunyo 2021.
Ikinalulugod naming ipahayag na gumawa kami ng isang paraan para mapanatili ng mas matandang mga Android device ang kanilang kakayahang bisitahin ang mga site na gumagamit ng mga sertipiko ng Let's Encrypt pagkatapos mag-expire ang aming mga naka-cross-broker na broker. Hindi na kami nagplano ng anumang mga pagbabago sa Enero na maaaring maging sanhi ng mga isyu sa pagiging tugma para sa mga Encrect ng Subscriber.
Kasabay nito, napagpasyahan bilang isang pagpipilian upang mag-alok ng posibilidad na humiling ng isang kahaliling sertipiko, sertipikado alinsunod sa lumang cross-validation scheme at pinapanatili ang pagiging tugma sa mga aparato sa root certificate store kung saan hindi naidagdag ang sertipiko ng Let's Encrypt.
Ang isang kahaliling sertipiko ay lilikha sa huling bahagi ng Enero o simula ng Pebrero 2021 bilang bahagi ng isang karagdagang kasunduan sa awtoridad ng sertipikasyon ng IdenTrust. Bilang karagdagan sa sertipiko ng ugat ng ISRG Root X1 na pagmamay-ari ng Let's Encrypt, ang sertipiko na ito ay i-cross-sign gamit ang sertipiko ng DST Root CA X3 ng IdenTrust.
Ang pirma ng krus ay may bisa sa loob ng tatlong taon, na mas mababa sa panahon ng bisa ng pangunahing sertipiko ng ugat na ISRG Root X1.
Dahil ang cross-signature ay mag-e-expire bago ang pirma na may pangunahing sertipiko ng root ng Let's Encrypt, ang mga problemang katulad ng insidente sa ginamit na sertipiko ng root ng AddTrust na ginamit para sa mga sertipiko ng cross-sign mula sa awtoridad ng sertipiko ng Sectigo (Comodo).
Tamang pinangasiwaan ng mga browser ang pag-expire ng cross certificate ng AddTrust, ngunit nagdulot ito ng malalaking pag-crash sa OpenSSL at GnuTLS system, kahit na ang pangunahing sertipiko ng ugat ng Comodo ay may bisa pa rin at nagpatuloy ang tanikala ng pagtitiwala sa kasalukuyang sertipiko.
Upang matiyak na ang bagong sertipiko ng Let's Encrypt ay hindi lumilikha ng mga katulad na isyu sa pagiging tugma, nilalayon ng IdenTrust at Let's Encrypt na mga awtoridad sa sertipiko na suriin ang ipinatupad na pamamaraan gamit ang mga panlabas na tagasuri.
Bilang paalala, ang root certificate na pagmamay-ari ng Let's Encrypt ay katugma sa lahat ng mga modernong browser, ngunit kinikilala lamang ito sa platform ng Android 7.1.1, na inilabas sa pagtatapos ng 2016. Ayon sa magagamit na mga istatistika, 66,2% lamang ng Lahat Gumagamit ang mga Android device ng Android 7.1 at mga mas bagong bersyon.
Ang 33,8% ng mga Android device na ginagamit ay walang data mula sa Let's Encrypt root certificate, iyon ay, nangangailangan sila ng isang karagdagang naka-sign na sertipiko na may isang root certificate na katugma sa mga nakaraang bersyon ng Android upang magpatuloy na gumagana nang tama. Kung susubukan mong buksan ang mga site na naka-sign lamang gamit ang Let's Encrypt root certificate sa mga device na iyon, ipapakita ang isang error.
Sa wakas, kung interesado kang malaman ang tungkol dito Maaari mong suriin ang mga detalye ng balita sa orihinal na tala kung saan maaari mong ma-access ang sumusunod na link.