Niadtong Septembre 30 sa 17:01 nga oras sa Moscow, ang IdenTrust root certificate (DST Root CA X3), nga gigamit sa cross-sign sa root certificate sa Let's Encrypt certification authority (ISRG Root X1), nga kontrolado sa komunidad ug naghatag og mga sertipiko nga walay bayad sa tanan, mo-expire. Gisiguro sa cross-signing nga ang Let's Encrypt nga mga sertipiko gisaligan sa daghang mga aparato, operating system, ug mga browser samtang ang kaugalingon nga sertipiko sa ugat sa Let's Encrypt gisagol sa mga tindahan sa sertipiko sa ugat.
Kini orihinal nga giplano nga human sa deprecation sa DST Root CA X3, ang Let's Encrypt nga proyekto mobalhin ngadto sa pagmugna og mga pirma gamit lamang ang root certificate niini, apan ang maong lakang mosangpot sa pagkawala sa pagkaangay sa daghang mga daan nga sistema nga wala. idugang ang Let's Encrypt root certificate sa ilang mga repository. Sa partikular, gibana-bana nga 30% sa mga Android device nga gigamit walay data sa Let's Encrypt root certificate, suporta nga nagpakita lamang sugod sa Android 7.1.1 nga plataporma, nga gipagawas sa katapusan sa 2016.
Ang Let's Encrypt wala magplano nga mosulod sa usa ka bag-ong cross-signature nga kasabutan, tungod kay nagpahamtang kini og dugang nga responsibilidad sa mga partido sa kasabutan, gihikawan sila sa kagawasan ug gihigot ang ilang mga kamot sa mga termino sa pagsunod sa tanan nga mga pamaagi ug mga lagda sa laing awtoridad sa sertipikasyon. Apan tungod sa potensyal nga mga problema sa daghang mga aparato sa Android, ang plano gibag-o. Usa ka bag-ong kasabutan ang gitapos uban ang awtoridad sa sertipikasyon sa IdenTrust, sulod sa gambalay diin ang usa ka alternatibo nga gipirmahan nga cross-sign nga Let's Encrypt intermediate nga sertipiko gihimo. Ang cross-signature mahimong balido sulod sa tulo ka tuig ug magpadayon sa suporta alang sa mga Android device sugod sa bersyon 2.3.6.
Bisan pa, ang bag-ong intermediate nga sertipiko wala maglakip sa daghang uban pang mga sistema sa kabilin. Pananglitan, kung ang sertipiko sa DST Root CA X3 wala na magamit sa Septyembre 30, ang mga sertipiko sa Let's Encrypt dili na madawat sa dili suportado nga firmware ug mga operating system nga nanginahanglan manwal nga pagdugang sa sertipiko sa ISRG Root X1 sa tindahan sa sertipiko sa ugat aron masiguro ang pagsalig sa mga sertipiko sa Let's Encrypt. . Ang mga problema magpakita sa ilang kaugalingon sa:
- OpenSSL hangtod sa branch 1.0.2 inclusive (pagmentinar sa branch 1.0.2 gihunong sa Disyembre 2019);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android <2.3.6;
- Mozilla Firefox <50;
- Ubuntu <16.04;
- Debian <8.
Sa kaso sa OpenSSL 1.0.2, ang problema gipahinabo sa usa ka bug nga nagpugong sa mga cross-signed nga sertipiko nga maproseso sa husto kung ang usa sa mga sertipiko sa ugat nga gigamit alang sa pagpirma matapos, bisan kung ang ubang mga balido nga kadena sa pagsalig magpabilin. Ang problema unang mitumaw sa miaging tuig human ang AddTrust certificate nga gigamit sa cross-sign certificates gikan sa Sectigo (Comodo) certification authority nahimong obsolete. Ang punoan sa problema mao nga gi-parse sa OpenSSL ang sertipiko ingon usa ka linear nga kadena, samtang sumala sa RFC 4158, ang usa ka sertipiko mahimong magrepresentar sa usa ka gitumong nga giapod-apod nga circular graph nga adunay daghang pagsalig nga mga angkla nga kinahanglan nga tagdon.
Ang mga tiggamit sa mas daan nga mga distribusyon base sa OpenSSL 1.0.2 gitanyag og tulo ka mga solusyon aron masulbad ang problema:
- Manwal nga gikuha ang IdenTrust DST Root CA X3 root certificate ug gi-install ang stand-alone (dili cross-signed) nga ISRG Root X1 root certificate.
- Kung gipadagan ang openssl verify ug s_client nga mga mando, mahimo nimong ipiho ang kapilian nga "--trusted_first".
- Gamita sa server ang usa ka sertipiko nga gipamatud-an sa usa ka bulag nga sertipiko sa ugat nga SRG Root X1, nga walaβy cross-signature. Kini nga pamaagi modala sa pagkawala sa pagkaangay sa mga tigulang nga kliyente sa Android.
Dugang pa, atong mamatikdan nga ang Let's Encrypt nga proyekto nakabuntog sa milestone sa duha ka bilyon nga namugna nga mga sertipiko. Ang usa ka bilyon nga milestone naabot kaniadtong Pebrero sa miaging tuig. 2.2-2.4 milyon nga bag-ong mga sertipiko ang nahimo kada adlaw. Ang gidaghanon sa aktibo nga mga sertipiko mao ang 192 milyon (usa ka sertipiko balido sulod sa tulo ka bulan) ug naglangkob sa mga 260 ka milyon nga mga dominyo (195 ka milyon nga mga dominyo ang nasakup usa ka tuig na ang milabay, 150 milyon nga duha ka tuig ang milabay, 60 milyon tulo ka tuig ang milabay). Sumala sa estadistika gikan sa serbisyo sa Firefox Telemetry, ang global nga bahin sa mga hangyo sa panid pinaagi sa HTTPS mao ang 82% (usa ka tuig ang milabay - 81%, duha ka tuig ang milabay - 77%, tulo ka tuig ang milabay - 69%, upat ka tuig ang milabay - 58%).
Source: opennet.ru