U 30 di settembre à 17:01 ora di Mosca, u certificatu di radica IdenTrust (DST Root CA X3), chì hè stata utilizata per firmà incruciate u certificatu di radica di l'autorità di certificazione Let's Encrypt (ISRG Root X1), chì hè cuntrullata da a cumunità è furnisce certificati gratuiti à tutti, scade. A firma incrociata hà assicuratu chì i certificati Let's Encrypt sò stati affidati in una larga gamma di dispositi, sistemi operativi è navigatori mentre u certificatu radice di Let's Encrypt hè stata integrata in i magazzini di certificati radicali.
Hè statu inizialmente previstu chì, dopu a deprecazione di DST Root CA X3, u prughjettu Let's Encrypt cambiassi à generà signatures utilizendu solu u so certificatu radice, ma una tale mossa porta à una perdita di cumpatibilità cù un gran numaru di sistemi più vechji chì ùn anu micca. aghjunghje u certificatu radice Let's Encrypt à i so repositori. In particulare, circa 30% di i dispositi Android in usu ùn anu micca dati nantu à u certificatu di radica Let's Encrypt, supportu per quale hè apparsu solu cuminciendu cù a piattaforma Android 7.1.1, liberata à a fine di u 2016.
Let's Encrypt ùn hà micca pensatu à entre in un novu accordu di firma incruciata, postu chì questu impone rispunsabilità supplementu à i partiti di l'accordu, li priva di l'indipendenza è ligami e so mani in quantu à u rispettu di tutte e prucedure è regule di una altra autorità di certificazione. Ma per via di prublemi putenziali in un gran numaru di i dispositi Android, u pianu hè statu rivisatu. Un novu accordu hè statu cunclusu cù l'autorità di certificazione IdenTrust, in u quadru di quale hè statu creatu un certificatu intermediu alternativu firmatu Let's Encrypt. A firma incruciata serà valida per trè anni è mantene u supportu per i dispositi Android chì principianu cù a versione 2.3.6.
Tuttavia, u novu certificatu intermediu ùn copre micca parechji altri sistemi legati. Per esempiu, cù l'annullamentu di u certificatu DST Root CA X3 u 30 di settembre, i certificati Let's Encrypt ùn saranu più accettati in firmware è sistemi operativi senza supportu chì necessitanu aghjunghje manualmente u certificatu ISRG Root X1 à u magazinu di certificati radice per assicurà a fiducia in Let's. Cifrate i certificati. I prublemi si manifestanu in:
- OpenSSL finu à a branche 1.0.2 inclusiva (a manutenzione di a branche 1.0.2 hè stata interrotta in dicembre 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
In u casu di OpenSSL 1.0.2, u prublema hè causatu da un bug chì impedisce à i certificati firmati incruciati da esse processati currettamente se unu di i certificati radicali utilizati per a firma scade, ancu s'ellu restanu altre catene valide di fiducia. U prublema hè apparsu per a prima volta l'annu passatu dopu chì u certificatu AddTrust utilizatu per firmà i certificati da l'autorità di certificazione Sectigo (Comodo) hè diventatu obsolet. U mutivu di u prublema hè chì OpenSSL hà analizatu u certificatu cum'è una catena lineale, mentre chì secondu RFC 4158, un certificatu pò rapprisintà un gràficu circular distribuitu direttu cù parechje ancore di fiducia chì deve esse cunsideratu.
L'utilizatori di distribuzioni più vechje basate in OpenSSL 1.0.2 sò offerti trè soluzioni per risolve u prublema:
- Eliminatu manualmente u certificatu radice IdenTrust DST Root CA X3 è installatu u certificatu radice ISRG Root X1 stand-alone (micca firmatu incruciatu).
- Quandu eseguite i cumandamenti openssl verify è s_client, pudete specificà l'opzione "--trusted_first".
- Aduprate nantu à u servitore un certificatu certificatu da un certificatu radice separatu SRG Root X1, chì ùn hà micca una firma incruciata. Stu mètudu vi purtari a perdita di cumpatibulità cù i clienti più vechje Android.
Inoltre, pudemu nutà chì u prughjettu Let's Encrypt hà superatu a tappa di dui miliardi di certificati generati. A tappa di un miliardo hè stata ghjunta in ferraghju di l'annu passatu. 2.2-2.4 milioni di novi certificati sò generati ogni ghjornu. U numaru di certificati attivi hè 192 milioni (un certificatu hè validu per trè mesi) è copre circa 260 milioni di duminii (195 milioni di duminii sò stati cuparti un annu fà, 150 milioni dui anni fà, 60 milioni trè anni fà). Sicondu statistiche di u serviziu Firefox Telemetry, a parte globale di e dumande di pagina via HTTPS hè 82% (un annu fà - 81%, dui anni fà - 77%, trè anni fà - 69%, quattru anni fà - 58%).
Source: opennet.ru