Давай шифрувати (підконтрольний громаді некомерційний орган із сертифікації, який надає безкоштовні сертифікати кожному) оголосив про наступний перехід до генерації підписів використовуючи лише свій кореневий сертифікат, не використовуючи сертифікат, підписаний центром сертифікації IdenTrust.
Кореневий сертифікат Let's Encrypt Він сумісний з усіма сучасними браузерами, але визнаний лише на базі Android 7.1.1, випущеного наприкінці 2016 року.
Проблема в тому, що, згідно із наявною статистикою, лише 66,2% усіх пристроїв Android використовують Android 7.1 та новіші версії.
Таким чином, 33,8% використовуваних пристроїв Android не мають даних у кореневому сертифікаті Let's Encrypt, і після закінчення терміну дії перехресного підпису відображатиметься помилка під час спроби відкрити сайти за допомогою сертифікатів Let's Encrypt на цих пристроях. .
Відсоток користувачів Android, які не приймають кореневий сертифікат Let's Encrypt, за оцінками, становить від 1 до 5% аудиторії для великих сайтів.
Let's Encrypt не має наміру укладати нову угоду про перехресний підпис, оскільки це накладає велику додаткову відповідальність на сторони угоди, позбавляє їх незалежності та зв’язує їхні руки при дотриманні всіх процедур та правил іншого органу з сертифікації.
До того ж, іl Проблема з оновленням старих пристроїв Android Ймовірно, це не зникне, і перехресну угоду доведеться поновлювати знову і знову.
Починаючи з 11 січня 2021 року, будуть внесені зміни в API Let's Encrypt і за замовчуванням клієнти ACME отримуватимуть сертифікати ISRG Root X1 без перехресного підписання.
Користувачі, яких турбує сумісність, матимуть можливість подати запит на альтернативний сертифікат, автентифікований за старою схемою перехресної перевірки, але такі сертифікати будуть і надалі обмежуватися терміном дії перехресного підписаного кореневого сертифіката (1 вересня 2021 р.).
Як рішення, Користувачам старих пристроїв Android рекомендується перейти на браузер Firefox, який має власне оновлене сховище кореневих сертифікатів.
Але Firefox не підтримує Android 4.x (близько 2% активних пристроїв Android) і може працювати лише на Android 5.0 або новіших версіях.
Власникам сайтів, які не бажають приймати втрату сумісності зі старими телефонами Android, рекомендується обробляти запити від старих пристроїв Android через HTTP або перейти на центр сертифікації, сумісний зі старими версіями Android.
Ось як оголошено Let's Encrypt:
"Кореневий сертифікат DST Root X3, який, як ми довіряємо, завантажується, закінчується 1 вересня 2021 року. На щастя, ми готові вистояти і покладатися виключно на власний кореневий сертифікат."
Однак ця повна зміна самого сертифіката Let's Encrypt не залишиться без наслідків.
"Деяке програмне забезпечення, яке не оновлювалося з 2016 року (приблизно, коли наш кореневий код був прийнятий багатьма кореневими програмами), досі не довіряє нашому кореневому сертифікату, ISRG Root X1", - пояснив Джейкоб Хоффман-Ендрюс (старший розробник Let's Encrypt і старший технолог Electronic Frontier Foundation) у повідомленні.
«Сюди входять зокрема версії Android до версії 7.1.1. Це означає, що ці старіші версії Android більше не будуть довіряти сертифікатам, виданим Let's Encrypt ”.
«Для вбудованого браузера на телефоні Android список надійних кореневих сертифікатів походить від операційної системи, яка застаріла на цих старих телефонах. Однак Firefox в даний час є унікальним серед браузерів: він постачається зі своїм власним списком надійних кореневих сертифікатів. Отже, кожен, хто встановлює останню версію Firefox, виграє від сучасного списку надійних органів сертифікації, навіть якщо їх операційна система застаріла », - зазначає Хоффман-Ендрюс.
Повідомлення також спрямоване на деяких власників веб-сайтів, які отримують скарги від користувачів, щоб вони могли підготуватися до змін. Let's Encrypt заохочує їх застосувати проміжне рішення (перейти на альтернативний ланцюжок сертифікатів), щоб підтримувати роботу свого сайту, поки вони оцінюють, що їм потрібно для довгострокового рішення.
Фуенте: https://letsencrypt.org