Кілька тижнів тому ми ділимося тут, у блозі, новиною, що Давайте Шифрувати (некомерційний орган, який контролюється громадою, який безкоштовно надає сертифікати) попередив користувачів про неминучі зміни в генерації підписів, що може спричинити проблеми та, насамперед, втрату сумісності з приблизно 33% використовуваних пристроїв Android.
І це тому, що він рекламував перехід до генерації підписів, використовуючи лише свій кореневий сертифікат, не використовуючи сертифікат, підписаний центром сертифікації IdenTrust.
Було згадано, що станом на 11 січня 2021 року будуть внесені зміни в API Let's Encrypt і за замовчуванням клієнти ACME отримуватимуть сертифікати ISRG Root X1 без перехресного підписання.
Згадано, що новий тип кореневого сертифіката Let's Encrypt сумісний з усіма сучасними браузерами, але він визнаний лише з Android 7.1.1, випущеного в кінці 2016 року (якщо ви хочете дізнатись більше про новини, ви можете проконсультуватися публікації У наступному посиланні).
Але зараз, Let's Encrypt оголосив, що план переглянуто і що сумісність із старими пристроями Android триватиме ще принаймні ще три роки.
Зміна API запланований на 11 січня, що передбачає перехід до видачі сертифікатів за замовчуванням, сертифікованих лише кореневим сертифікатом ISRG Root X1, без перехресного підпису, було перенесено на червень 2021 року.
Ми раді повідомити, що ми розробили спосіб для старих пристроїв Android зберігати можливість відвідувати сайти, які використовують сертифікати Let's Encrypt після закінчення терміну дії наших перехресних підписів. Ми більше не плануємо жодних змін у січні, які можуть спричинити проблеми сумісності для передплатників Let's Encrypt.
Водночас було вирішено як варіант запропонувати можливість запиту альтернативного сертифіката, сертифікований за старою схемою перехресної перевірки та підтримуючи сумісність із пристроями в кореневому сховищі сертифікатів, до яких не додано сертифікат Let's Encrypt.
Альтернативний сертифікат буде створений наприкінці січня або на початку лютого 2021 року в рамках додаткової угоди з органом сертифікації IdenTrust. На додаток до кореневого сертифіката ISRG Root X1, який належить Let's Encrypt, цей сертифікат буде перехресним підписом за допомогою сертифіката DST Root CA X3 від IdenTrust.
Хрестовий підпис діятиме три роки, що менше терміну дії первинного кореневого сертифіката ISRG Root X1.
Оскільки перехресний підпис закінчується до підпису з основним кореневим сертифікатом Let's Encrypt, проблеми, подібні до інциденту з кореневим сертифікатом AddTrust, що використовується для сертифікатів перехресного підписання від Центру сертифікації Sectigo (Comodo ).
Браузери правильно обробляли термін дії перехресного сертифіката AddTrust, але це спричинило масові збої в системах OpenSSL та GnuTLS, навіть незважаючи на те, що головний кореневий сертифікат Comodo все ще був дійсним і ланцюжок довіри до поточного сертифіката зберігався.
Щоб новий сертифікат Let's Encrypt не створював подібних проблем сумісності, органи сертифікації IdenTrust та Let's Encrypt мають намір переглянути впроваджену схему із використанням зовнішніх аудиторів.
Нагадаємо, кореневий сертифікат, що належить Let's Encrypt, сумісний з усіма сучасними браузерами, але він визнаний лише платформою Android 7.1.1, випущеною в кінці 2016 року. За наявною статистикою, лише 66,2% Усі пристрої Android використовують Android 7.1 та новіші версії.
33,8% використовуваних пристроїв Android не мають даних кореневого сертифіката Let's Encrypt, тобто для подальшої належної роботи їм потрібен додатково підписаний сертифікат із кореневим сертифікатом, сумісним із попередніми версіями Android. Якщо ви спробуєте відкрити сайти, підписані лише корінним сертифікатом Let's Encrypt, на цих пристроях відобразиться помилка.
Нарешті, якщо вам цікаво дізнатись більше про це Ви можете перевірити деталі новин в оригінальній примітці, до якої ви можете отримати доступ за наступним посиланням.