Dana 30. septembra u 17:01 po moskovskom vremenu, IdenTrust root certifikat (DST Root CA X3), koji je korišten za unakrsno potpisivanje korijenskog certifikata certifikacijskog tijela Let's Encrypt (ISRG Root X1), koji je pod kontrolom zajednice i daje sertifikate besplatno svima, ističe. Unakrsno potpisivanje je osiguralo da Let's Encrypt certifikati budu vjerovani na širokom spektru uređaja, operativnih sistema i pretraživača, dok je vlastiti root certifikat Let's Encrypt integriran u root skladišta certifikata.
Prvobitno je planirano da nakon zastarevanja DST Root CA X3, projekat Let's Encrypt pređe na generiranje potpisa koristeći samo svoj root certifikat, ali bi takav potez doveo do gubitka kompatibilnosti sa velikim brojem starijih sistema koji nisu dodaju Let's Encrypt root certifikat u njihova spremišta. Konkretno, otprilike 30% Android uređaja u upotrebi nema podatke o root certifikatu Let's Encrypt, za koji se podrška pojavila tek počevši od platforme Android 7.1.1, objavljene krajem 2016. godine.
Let's Encrypt nije planirao sklapanje novog ugovora o unakrsnom potpisivanju, jer to nameće dodatnu odgovornost stranama u sporazumu, lišava ih nezavisnosti i vezuje im ruke u pogledu poštovanja svih procedura i pravila drugog sertifikacionog tijela. Ali zbog potencijalnih problema na velikom broju Android uređaja, plan je revidiran. Sklopljen je novi ugovor sa IdenTrust sertifikacionim tijelom, u okviru kojeg je kreiran alternativni unakrsno potpisani Let's Encrypt srednji certifikat. Unakrsni potpis će vrijediti tri godine i održavat će podršku za Android uređaje počevši od verzije 2.3.6.
Međutim, novi srednji certifikat ne pokriva mnoge druge naslijeđene sisteme. Na primjer, kada DST Root CA X3 certifikat zastari 30. septembra, Let's Encrypt certifikati više neće biti prihvaćeni na nepodržanim firmverima i operativnim sistemima koji zahtijevaju ručno dodavanje ISRG Root X1 certifikata u root spremište certifikata kako bi se osiguralo povjerenje u Let's Encrypt certifikate . Problemi će se manifestovati u:
- OpenSSL do grane 1.0.2 uključujući (održavanje grane 1.0.2 je prekinuto u decembru 2019.);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
U slučaju OpenSSL 1.0.2, problem je uzrokovan greškom koja sprečava ispravnu obradu unakrsno potpisanih certifikata ako jedan od korijenskih certifikata koji se koriste za potpisivanje istekne, čak i ako ostali važeći lanci povjerenja ostaju. Problem se prvi put pojavio prošle godine nakon što je AddTrust certifikat koji se koristi za unakrsno potpisivanje certifikata Sectigo (Comodo) certifikacijskog tijela postao zastario. Suština problema je u tome što je OpenSSL raščlanio certifikat kao linearni lanac, dok prema RFC 4158, certifikat može predstavljati usmjereni distribuirani kružni graf sa višestrukim sidrima povjerenja koje treba uzeti u obzir.
Korisnicima starijih distribucija zasnovanih na OpenSSL-u 1.0.2 nude se tri zaobilazna rješenja za rješavanje problema:
- Ručno je uklonjen IdenTrust DST Root CA X3 root certifikat i instaliran samostalni (ne unakrsno potpisan) ISRG Root X1 root certifikat.
- Kada izvodite naredbe openssl verify i s_client, možete odrediti opciju “--trusted_first”.
- Koristite na serveru certifikat ovjeren posebnim korijenskim certifikatom SRG Root X1, koji nema unakrsni potpis. Ova metoda će dovesti do gubitka kompatibilnosti sa starijim Android klijentima.
Osim toga, možemo primijetiti da je projekat Let's Encrypt prevazišao prekretnicu od dvije milijarde generiranih certifikata. Prekretnica od milijardu dolara postignuta je u februaru prošle godine. Dnevno se generiše 2.2-2.4 miliona novih sertifikata. Broj aktivnih sertifikata je 192 miliona (sertifikat važi tri meseca) i pokriva oko 260 miliona domena (pre godinu dana pokriveno je 195 miliona domena, pre dve godine 150 miliona, pre tri godine 60 miliona). Prema statistici servisa Firefox Telemetry, globalni udio zahtjeva stranica putem HTTPS-a je 82% (prije godinu dana - 81%, prije dvije godine - 77%, prije tri godine - 69%, prije četiri godine - 58%).
izvor: opennet.ru