Şifreleyelim (herkese ücretsiz sertifika sağlayan, topluluk tarafından kontrol edilen, kar amacı gütmeyen bir sertifika yetkilisi) imza oluşturmak için bir sonraki geçişi duyurdu IdenTrust sertifika yetkilisi tarafından çapraz imzalanmış bir sertifika kullanmadan yalnızca kök sertifikanızı kullanarak.
Let's Encrypt kök sertifikası tüm modern tarayıcılarla uyumludur, ancak yalnızca 7.1.1'nın sonlarında piyasaya sürülen Android 2016'den itibaren tanınır.
Sorun şu ki, mevcut istatistiklere göre, tüm Android cihazların yalnızca% 66,2'si Android 7.1 ve daha yeni sürümleri kullanıyor.
Bu nedenle, kullanılan Android cihazların% 33,8'inin Let's Encrypt kök sertifikasında hiçbir verisi yoktur ve çapraz imzalı sertifikanın süresi dolduktan sonra, bu cihazlarda Let's Encrypt sertifikalarını kullanarak siteleri açmaya çalışırken bir hata görüntülenir. .
Let's Encrypt kök sertifikasını kabul etmeyen Android kullanıcılarının yüzdesinin, büyük siteler için hedef kitlenin yaklaşık% 1 ila% 5'i arasında olduğu tahmin edilmektedir.
Let's Encrypt, yeni bir çapraz imza anlaşması yapma niyetinde değil, çünkü bu, anlaşmanın taraflarına büyük bir ek sorumluluk yükler, onları bağımsızlıktan mahrum eder ve başka bir sertifika yetkilisinin tüm prosedür ve kurallarına uyma konusunda ellerini bağlar.
Ayrıca vel Eski Android cihazları güncellemeyle ilgili sorun muhtemelen ortadan kalkmayacak ve çapraz anlaşmanın defalarca yenilenmesi gerekecek.
11 Ocak 2021'den itibaren Let's Encrypt API'de değişiklikler yapılacak ve varsayılan olarak, ACME müşterileri çapraz imzalama olmaksızın ISRG Root X1 sertifikalarını alacaklardır.
Uyumluluktan endişe duyan kullanıcılar, eski çapraz doğrulama şeması kullanılarak doğrulanan alternatif bir sertifika talep etme fırsatına sahip olacaklar, ancak bu tür sertifikalar, çapraz imzalı kök sertifikanın ömrü (1 Eylül 2021) ile sınırlandırılmaya devam edecek.
Çözüm olarak, Daha eski Android cihaz kullanıcılarının Firefox tarayıcısına geçmeleri tavsiye edilir, kendi güncellenmiş kök sertifika deposuna sahip.
Ancak Firefox, Android 4.x'i (aktif Android cihazların yaklaşık% 2'si) desteklemez ve yalnızca Android 5.0 veya daha yeni sürümlerde çalışabilir.
Eski Android telefonlarla uyumluluk kaybını kabul etmek istemeyen site sahiplerine, eski Android cihazlarından gelen istekleri HTTP üzerinden işlemeleri veya Android'in eski sürümleriyle uyumlu bir CA'ya geçmeleri önerilir.
Let's Encrypt şu şekilde duyurulur:
"Önyüklemesi için güvendiğimiz DST Root X3 kök sertifikasının süresi 1 Eylül 2021'de sona erecek. Neyse ki, ayağa kalkmaya ve yalnızca kendi kök sertifikamıza güvenmeye hazırız."
Bununla birlikte, Let's Encrypt sertifikasının kendisinde yapılan bu tam değişikliğin sonuçsuz kalmayacaktır.
Jacob Hoffman-Andrews (Let's Encrypt'de kıdemli geliştirici ve Let's Encrypt'de kıdemli teknoloji uzmanı), "2016'dan beri güncellenmeyen bazı yazılımlar (kökünüzün birçok kök program tarafından kabul edildiği zamana kadar) hala kök sertifikamıza güvenmiyor, ISRG Root X1," dedi. Electronic Frontier Foundation) bir bildirimde bulunur.
"Bu, özellikle 7.1.1 sürümünden önceki Android sürümlerini içerir. Bu, Android'in bu eski sürümlerinin artık Let's Encrypt tarafından yayınlanan sertifikalara güvenmeyeceği anlamına geliyor ”.
"Bir Android telefondaki yerleşik tarayıcı için, güvenilir kök sertifikaların listesi bu eski telefonlarda kullanılmayan işletim sisteminden geliyor. Ancak Firefox şu anda tarayıcılar arasında benzersizdir: kendi güvenilir kök sertifikaları listesiyle birlikte gelir. Hoffman-Andrews'e göre Firefox'un en son sürümünü kuran herkes, işletim sistemleri güncel olmasa bile, güvenilir sertifika yetkililerinin güncel bir listesinden yararlanıyor.
Bildirim ayrıca, değişikliğe hazırlanabilmeleri için kullanıcılardan şikayet alan bazı web sitesi sahiplerine yöneliktir. Let's Encrypt, uzun vadeli bir çözüm için neye ihtiyaç duyduklarını değerlendirirken sitelerini çalışır durumda tutmak için onları geçici bir çözüm (alternatif sertifika zincirine geçiş) uygulamaya teşvik eder.
kaynak: https://letsencrypt.org