Mag-encrypt tayo (isang awtoridad na walang kontrol na kumokontrol sa pamayanan na nagbibigay ng mga libreng sertipiko sa lahat) inihayag ang susunod na paglipat upang makabuo ng mga lagda ginagamit lamang ang iyong root certificate, nang hindi gumagamit ng isang sertipiko na naka-cross-sign ng awtoridad ng sertipiko ng IdenTrust.
Ang sertipiko ng root ng Let's Encrypt tugma ito sa lahat ng mga modernong browser, ngunit kinikilala lamang sa Android 7.1.1, na inilabas noong huling bahagi ng 2016.
Ang problema ay, ayon sa magagamit na mga istatistika, 66,2% lamang ng lahat ng mga Android device ang gumagamit ng Android 7.1 at mga mas bagong bersyon.
Samakatuwid, 33,8% ng mga Android device na ginagamit ay walang data sa sertipiko ng ugat na Encrypt at pagkatapos na mag-expire ang cross-sign na sertipiko, isang error ang ipapakita kapag sinusubukang buksan ang mga site gamit ang Let's Encrypt sertipiko sa mga aparatong iyon. .
Ang porsyento ng mga gumagamit ng Android na hindi tumatanggap ng root certificate ng Let's Encrypt ay tinatayang nasa pagitan ng 1 at 5% ng madla para sa mga malalaking site.
Ang Encrypt ng Encrypt ay hindi nilayon na magtapos ng isang bagong kasunduan sa cross-signature, dahil ito ay nagpapataw ng isang mahusay na karagdagang responsibilidad sa mga partido sa kasunduan, pinagkaitan ang mga ito ng kalayaan at tinali ang kanilang mga kamay sa pagsunod sa lahat ng mga pamamaraan at patakaran ng isa pang awtoridad sa sertipikasyon.
Bukod, atl May problema sa pag-update ng mga lumang Android device Marahil ay hindi ito mawawala at ang cross agreement ay dapat na ma-update nang paulit-ulit.
Hanggang Enero 11, 2021, gagawin ang mga pagbabago sa Let's Encrypt API at bilang default, ang mga customer ng ACME ay makakatanggap ng mga sertipiko ng ISRG Root X1 nang walang pag-sign ng cross.
Ang mga gumagamit na nag-aalala tungkol sa pagiging tugma ay magkakaroon ng pagkakataon na humiling ng isang kahaliling sertipiko, na napatunayan gamit ang dating cross-validation scheme, ngunit ang mga naturang sertipiko ay magpapatuloy na limitahan sa habang buhay ng cross-sign root certificate (Setyembre 1, 2021).
Bilang solusyon, Pinayuhan ang mga mas matatandang gumagamit ng Android device na lumipat sa Firefox browser, na mayroong sariling nai-update na root certificate store.
Ngunit hindi sinusuportahan ng Firefox ang Android 4.x (halos 2% ng mga aktibong Android device) at maaari lamang tumakbo sa Android 5.0 o mas bago.
Ang mga may-ari ng site na ayaw tanggapin ang pagkawala ng pagiging tugma sa mga mas lumang mga teleponong Android ay pinapayuhan na iproseso ang mga kahilingan mula sa mas matandang mga Android device sa paglipas ng HTTP o lumipat sa isang CA na katugma sa mga mas lumang bersyon ng Android.
Narito kung paano inihayag ang Let's Encrypt:
"Ang DST Root X3 root certificate na pinagkakatiwalaan naming mag-boot ay mag-e-expire sa Setyembre 1, 2021. Sa kasamaang palad, handa kaming tumayo at umasa lamang sa aming sariling root certificate."
Gayunpaman, ang kumpletong pagbabago na ito sa sertipiko ng Let's Encrypt mismo ay hindi magiging walang mga kahihinatnan.
"Ang ilang software na hindi na-update mula pa noong 2016 (sa paligid kung kailan tinanggap ang aming ugat ng maraming mga root program) ay hindi pa rin nagtitiwala sa aming root certificate, ISRG Root X1," paliwanag ni Jacob Hoffman-Andrews (senior developer sa Let's Encrypt at senior technologist sa Electronic Frontier Foundation) sa isang paunawa.
"Nagsasama ito sa mga partikular na bersyon ng Android bago ang bersyon 7.1.1. Nangangahulugan ito na ang mga mas lumang bersyon ng Android na ito ay hindi na magtitiwala sa mga sertipiko na ibinigay ng Let's Encrypt ”.
"Para sa built-in na browser sa isang Android phone, ang listahan ng mga pinagkakatiwalaang root sertipiko ay nagmula sa operating system, na kung saan ay lipas na sa mga mas matatandang telepono. Gayunpaman, ang Firefox ay kasalukuyang natatangi sa mga browser: mayroong itong sariling listahan ng mga pinagkakatiwalaang mga sertipiko ng ugat. Kaya't ang sinumang nag-i-install ng pinakabagong bersyon ng Firefox ay nakikinabang mula sa isang napapanahong listahan ng mga pinagkakatiwalaang mga awtoridad sa sertipiko, kahit na ang kanilang operating system ay wala sa panahon, ”ayon kay Hoffman-Andrews.
Ang abiso ay nakadirekta din sa ilang mga may-ari ng website na tumatanggap ng mga reklamo mula sa mga gumagamit upang maihanda nila ang pagbabago. Hinihimok sila ng Encrypt na Magpatupad ng isang pansamantalang solusyon (lumipat sa kahaliling kadena ng sertipiko) upang panatilihing tumatakbo ang kanilang site habang sinusuri nila kung ano ang kailangan nila para sa isang pangmatagalang solusyon.
Fuente: https://letsencrypt.org