Hãy mã hóa (một tổ chức chứng nhận phi lợi nhuận do cộng đồng kiểm soát cung cấp chứng chỉ miễn phí cho mọi người) công bố quá trình chuyển đổi tiếp theo để tạo chữ ký chỉ sử dụng chứng chỉ gốc của bạn mà không sử dụng chứng chỉ được tổ chức phát hành chứng chỉ IdenTrust ký chéo.
Chứng chỉ gốc Let's Encrypt nó tương thích với tất cả các trình duyệt hiện đại, nhưng chỉ được công nhận là Android 7.1.1, được phát hành vào cuối năm 2016.
Vấn đề là, theo thống kê có sẵn, chỉ 66,2% tất cả các thiết bị Android sử dụng Android 7.1 và các phiên bản mới hơn.
Do đó, 33,8% thiết bị Android đang sử dụng không có dữ liệu trong chứng chỉ gốc Let's Encrypt và một khi chứng chỉ chữ ký chéo hết hạn, lỗi sẽ hiển thị khi cố gắng mở các trang web bằng chứng chỉ Let's Encrypt trên các thiết bị đó. .
Tỷ lệ người dùng Android không chấp nhận chứng chỉ gốc Let's Encrypt được ước tính là khoảng 1% đến 5% đối tượng cho các trang web lớn.
Let's Encrypt không có ý định ký kết một thỏa thuận chữ ký chéo mới, vì điều này đặt ra trách nhiệm bổ sung lớn cho các bên tham gia thỏa thuận, tước đi quyền độc lập của họ và ràng buộc họ trong việc tuân thủ tất cả các thủ tục và quy tắc của tổ chức cung cấp dịch vụ chứng thực chữ ký số khác.
Bên cạnh đó, vàl Sự cố khi cập nhật các thiết bị Android cũ Nó có thể sẽ không biến mất và thỏa thuận chéo sẽ phải được gia hạn nhiều lần.
Kể từ ngày 11 tháng 2021 năm XNUMX, các thay đổi sẽ được thực hiện đối với API Let's Encrypt và theo mặc định, khách hàng ACME sẽ nhận được chứng chỉ ISRG Root X1 mà không cần ký chéo.
Người dùng lo ngại về khả năng tương thích sẽ có cơ hội yêu cầu chứng chỉ thay thế, được xác thực bằng cách sử dụng sơ đồ xác thực chéo cũ, nhưng các chứng chỉ đó sẽ tiếp tục bị giới hạn bởi thời gian tồn tại của chứng chỉ gốc được ký chéo (ngày 1 tháng 2021 năm XNUMX).
Như một giải pháp, Người dùng thiết bị Android cũ hơn nên chuyển sang trình duyệt Firefox, có kho lưu trữ chứng chỉ gốc được cập nhật của riêng nó.
Nhưng Firefox không hỗ trợ Android 4.x (khoảng 2% thiết bị Android đang hoạt động) và chỉ có thể chạy trên Android 5.0 hoặc mới hơn.
Chủ sở hữu trang web không muốn chấp nhận việc mất khả năng tương thích với điện thoại Android cũ hơn nên xử lý yêu cầu từ các thiết bị Android cũ hơn qua HTTP hoặc chuyển sang CA tương thích với các phiên bản Android cũ hơn.
Đây là cách Let's Encrypt thông báo:
"Chứng chỉ gốc DST Root X3 mà chúng tôi tin tưởng để khởi động sẽ hết hạn vào ngày 1 tháng 2021 năm XNUMX. May mắn thay, chúng tôi đã sẵn sàng đứng lên và chỉ dựa vào chứng chỉ gốc của riêng mình."
Tuy nhiên, sự thay đổi hoàn toàn này đối với chứng chỉ Let's Encrypt sẽ không có hậu quả.
Jacob Hoffman-Andrews (nhà phát triển cấp cao của Let's Encrypt và nhà công nghệ cao cấp tại Electronic Frontier Foundation) trong một thông báo.
“Điều này bao gồm các phiên bản cụ thể của Android trước phiên bản 7.1.1. Điều này có nghĩa là các phiên bản Android cũ này sẽ không còn tin tưởng vào các chứng chỉ do Let's Encrypt cấp nữa ”.
“Đối với trình duyệt cài sẵn trên điện thoại Android, danh sách các chứng chỉ gốc đáng tin cậy đến từ hệ điều hành, vốn đã lỗi thời trên các điện thoại cũ hơn này. Tuy nhiên, Firefox hiện là duy nhất trong số các trình duyệt: nó đi kèm với danh sách chứng chỉ gốc đáng tin cậy của riêng mình. Vì vậy, bất kỳ ai cài đặt phiên bản Firefox mới nhất đều được hưởng lợi từ danh sách cập nhật các tổ chức cung cấp chứng chỉ đáng tin cậy, ngay cả khi hệ điều hành của họ đã lỗi thời, ”theo Hoffman-Andrews.
Thông báo cũng hướng đến một số chủ sở hữu trang web nhận được phàn nàn từ người dùng để họ chuẩn bị cho sự thay đổi. Let's Encrypt khuyến khích họ triển khai một giải pháp tạm thời (chuyển sang chuỗi chứng chỉ thay thế) để duy trì và chạy trang web của họ trong khi họ đánh giá những gì họ cần cho một giải pháp lâu dài.
Fuente: https://letsencrypt.org