Birkaç hafta önce burada blogda, Let's Encrypt haberini paylaşıyoruz (herkese ücretsiz sertifika sağlayan, kâr amacı gütmeyen, topluluk kontrolündeki bir sertifika yetkilisi) kullanıcıları imza oluşturmada yakın bir değişiklik konusunda uyardı, sorunlara ve her şeyden önce kullanımda olan Android cihazların yaklaşık% 33'ünde uyumluluğun kaybolmasına neden olabilir.
Bunun nedeni, IdenTrust sertifika yetkilisi tarafından çapraz imzalanmış bir sertifika kullanmadan yalnızca kendi kök sertifikasını kullanarak imza oluşturmaya geçişi duyurmasıydı.
11 Ocak 2021 tarihinden itibaren Let's Encrypt API'de değişiklik yapılacağı belirtildi. ve varsayılan olarak, ACME müşterileri çapraz imzalama olmaksızın ISRG Root X1 sertifikalarını alacaklardır.
Yeni Let's Encrypt kök sertifikası türünün tüm modern tarayıcılarla uyumlu olduğu belirtildi, ancak yalnızca 7.1.1'nın sonunda yayınlanan Android 2016'den itibaren tanınıyor (haberler hakkında daha fazla bilgi edinmek istiyorsanız, danışabilirsiniz. Yayın Aşağıdaki bağlantıda).
Ama şimdi, Let's Encrypt, planın revize edildiğini duyurdu ve bu eski Android cihazlarla uyumluluk en az üç yıl daha devam edecek.
API değişikliği 11 Ocak için planlanmıştır; bu, yalnızca ISRG Root X1 kök sertifikası tarafından onaylanan sertifikaların çapraz imza olmadan varsayılan olarak verilmesine geçiş anlamına gelir, Haziran 2021'e ertelendi.
Çapraz imzalı aracılarımızın süresi dolduktan sonra Let's Encrypt sertifikalarını kullanan siteleri ziyaret etme becerilerini korumaları için eski Android cihazların bir yolunu geliştirdiğimizi duyurmaktan memnuniyet duyuyoruz. Artık Ocak ayında Let's Encrypt aboneleri için uyumluluk sorunlarına neden olabilecek herhangi bir değişiklik planlamıyoruz.
Aynı zamanda, alternatif bir sertifika talep etme imkanı sunma seçeneği olarak karar verildi, eski çapraz doğrulama şemasına göre onaylanmış ve Let's Encrypt sertifikasının eklenmediği kök sertifika deposundaki cihazlarla uyumluluğu sürdürme.
Ocak sonu veya 2021 Şubat başında alternatif bir sertifika oluşturulacak IdenTrust sertifika yetkilisiyle ek bir anlaşmanın parçası olarak. Let's Encrypt'e ait ISRG Root X1 kök sertifikasına ek olarak, bu sertifika IdenTrust'ın DST Root CA X3 sertifikası kullanılarak çapraz imzalanacaktır.
Çapraz imza üç yıl geçerli olacak, Bu, birincil kök sertifika ISRG Root X1'in geçerlilik süresinden daha kısa.
Çapraz imzanın süresi, ana Let's Encrypt kök sertifikasıyla imzalanmadan önce sona ereceğinden, Sectigo sertifika yetkilisinden (Comodo) gelen sertifikaların çapraz imzalanması için kullanılan AddTrust kök sertifikasıyla ilgili olaya benzer sorunlar.
Tarayıcılar AddTrust çapraz sertifika süresinin dolmasını doğru bir şekilde ele aldı, ancak OpenSSL ve GnuTLS sistemlerinde büyük çökmelere neden oldu, ancak Comodo'nun ana kök sertifikası hala geçerliydi ve mevcut sertifikaya sahip güven zinciri devam etti.
Yeni Let's Encrypt sertifikasının benzer uyumluluk sorunları yaratmamasını sağlamak için, IdenTrust ve Let's Encrypt sertifika yetkilileri, harici denetçileri kullanarak uygulanan şemayı gözden geçirmeyi planlıyor.
Bir hatırlatma olarak, Let's Encrypt'in sahip olduğu kök sertifika tüm modern tarayıcılarla uyumludur, ancak yalnızca 7.1.1 sonunda piyasaya sürülen Android 2016 platformundan itibaren tanınır. Mevcut istatistiklere göre, Tümünün yalnızca% 66,2'si Android cihazlar, Android 7.1 ve daha yeni sürümleri kullanır.
Kullanılan Android cihazların% 33,8'inde Let's Encrypt kök sertifikasından veri bulunmuyor, yani düzgün çalışmaya devam edebilmeleri için Android'in önceki sürümleriyle uyumlu bir kök sertifika ile ek olarak imzalanmış bir sertifika gerekiyor. Bu cihazlarda yalnızca Let's Encrypt kök sertifikası ile imzalanmış siteleri açmaya çalışırsanız, bir hata görüntülenir.
Son olarak, onun hakkında daha fazla bilgi edinmekle ilgileniyorsan Haberin detaylarını buradan erişebileceğiniz orijinal notta kontrol edebilirsiniz. aşağıdaki bağlantı.