Sentyabrın 30-da Moskva vaxtı ilə saat 17:01-də icma tərəfindən idarə olunan Let's Encrypt sertifikatlaşdırma orqanının (ISRG Root X3) kök sertifikatını çarpaz imzalamaq üçün istifadə edilən IdenTrust kök sertifikatı (DST Root CA X1) və sertifikatları hər kəsə pulsuz təqdim edir, müddəti bitir. Çarpaz imzalama Let's Encrypt sertifikatlarının geniş çeşiddə cihazlarda, əməliyyat sistemlərində və brauzerlərdə etibarlı olmasını təmin etdi, Let's Encrypt-in öz kök sertifikatı isə kök sertifikat mağazalarına inteqrasiya edildi.
Əvvəlcə planlaşdırılırdı ki, DST Root CA X3-ün köhnəlməsindən sonra Let's Encrypt layihəsi yalnız öz kök sertifikatından istifadə edərək imzaların yaradılmasına keçəcək, lakin belə bir hərəkət tətbiq olunmayan çoxlu sayda köhnə sistemlərlə uyğunluğun itirilməsinə səbəb olacaq. onların depolarına Let's Encrypt kök sertifikatını əlavə edin. Xüsusilə, istifadə olunan Android cihazlarının təxminən 30%-nin dəstəyi yalnız 7.1.1-cı ilin sonunda buraxılmış Android 2016 platformasından başlayaraq ortaya çıxan Let's Encrypt kök sertifikatı haqqında məlumatlara malik deyil.
Let's Encrypt şirkəti yeni çarpaz imza müqaviləsi bağlamağı planlaşdırmırdı, çünki bu, müqavilə tərəflərinin üzərinə əlavə məsuliyyət qoyur, onları müstəqillikdən məhrum edir və digər sertifikatlaşdırma orqanının bütün prosedur və qaydalarına uyğunluq baxımından əl-qolunu bağlayır. Lakin çoxlu sayda Android cihazlarında yarana biləcək problemlər səbəbindən plana yenidən baxıldı. IdenTrust sertifikatlaşdırma orqanı ilə yeni müqavilə bağlandı, onun çərçivəsində alternativ çarpaz imzalı Let's Encrypt aralıq sertifikatı yaradıldı. Çarpaz imza üç il müddətində etibarlı olacaq və 2.3.6 versiyası ilə başlayan Android cihazları üçün dəstəyi davam etdirəcək.
Bununla belə, yeni aralıq sertifikat bir çox digər köhnə sistemləri əhatə etmir. Məsələn, DST Root CA X3 sertifikatı sentyabrın 30-da ləğv edildikdə, Let's Encrypt sertifikatlarına etibarı təmin etmək üçün ISRG Root X1 sertifikatını kök sertifikat anbarına əl ilə əlavə etməyi tələb edən dəstəklənməyən mikroproqram və əməliyyat sistemlərində Let's Encrypt sertifikatları artıq qəbul edilməyəcək. . Problemlər özünü göstərəcək:
- OpenSSL filialı 1.0.2 daxil olmaqla (filial 1.0.2-nin saxlanması 2019-cu ilin dekabrında dayandırılıb);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian <8.
OpenSSL 1.0.2 vəziyyətində problem, digər etibarlı etimad zəncirləri qalsa belə, imza üçün istifadə edilən kök sertifikatlardan birinin müddəti bitdikdə, çarpaz imzalanmış sertifikatların düzgün işlənməsinə mane olan səhvdən qaynaqlanır. Problem ilk dəfə keçən il Sectigo (Comodo) sertifikatlaşdırma orqanının sertifikatlarını çarpaz imzalamaq üçün istifadə edilən AddTrust sertifikatı köhnəldikdən sonra ortaya çıxdı. Problemin mahiyyəti ondan ibarətdir ki, OpenSSL sertifikatı xətti zəncir kimi təhlil etdi, halbuki RFC 4158-ə görə, sertifikat nəzərə alınmalı olan çoxlu etibar ankerləri ilə yönəldilmiş paylanmış dairəvi qrafiki təmsil edə bilər.
OpenSSL 1.0.2 əsasında köhnə paylamaların istifadəçilərinə problemi həll etmək üçün üç həll yolu təklif olunur:
- IdenTrust DST Root CA X3 kök sertifikatını əl ilə sildi və müstəqil (çarpaz imzalanmamış) ISRG Root X1 kök sertifikatını quraşdırdı.
- openssl verify və s_client əmrlərini işlədən zaman “-trusted_first” seçimini təyin edə bilərsiniz.
- Serverdə çarpaz imzası olmayan ayrıca kök sertifikatı SRG Root X1 ilə təsdiq edilmiş sertifikatdan istifadə edin. Bu üsul köhnə Android müştəriləri ilə uyğunluğun itirilməsinə səbəb olacaq.
Əlavə olaraq qeyd edə bilərik ki, Let's Encrypt layihəsi iki milyard yaradılan sertifikatın mərhələ mərhələsini keçib. Bir milyard mərhələ keçən ilin fevralında əldə edilib. Gündəlik 2.2-2.4 milyon yeni sertifikat yaradılır. Aktiv sertifikatların sayı 192 milyondur (sertifikat üç ay ərzində etibarlıdır) və təxminən 260 milyon domeni əhatə edir (195 milyon domen bir il əvvəl, 150 milyon iki il əvvəl, 60 milyon üç il əvvəl əhatə olunub). Firefox Telemetry xidmətinin statistikasına əsasən, HTTPS vasitəsilə səhifə sorğularının qlobal payı 82% təşkil edir (bir il əvvəl - 81%, iki il əvvəl - 77%, üç il əvvəl - 69%, dörd il əvvəl - 58%).
Mənbə: opennet.ru