La 30-an de septembro je la 17:01 Moskva tempo, la radika atestilo IdenTrust (DST Root CA X3), kiu estis uzata por krucsubskribi la radikan atestilon de la atestila aŭtoritato Let's Encrypt (ISRG Root X1), kiu estas kontrolita de la komunumo kaj provizas atestilojn senpage al ĉiuj, eksvalidiĝas. Krucsubskribo certigis ke Let's Encrypt atestiloj estis fidindaj tra larĝa gamo de aparatoj, operaciumoj, kaj retumiloj dum la propra radika atestilo de Let's Encrypt estis integrita en radikajn atestilbutikojn.
Estis origine planite, ke post la malrekomendiĝo de DST Root CA X3, la projekto Let's Encrypt ŝanĝus al generado de subskriboj uzante nur sian radikan atestilon, sed tia movo kondukus al perdo de kongruo kun granda nombro da pli malnovaj sistemoj kiuj ne faris. aldonu la radikan atestilon Ni Ĉifri al iliaj deponejoj. Precipe, proksimume 30% de Android-aparatoj uzataj ne havas datumojn pri la radika atestilo Let's Encrypt, kies subteno aperis nur ekde la platformo Android 7.1.1, publikigita fine de 2016.
Let's Encrypt ne planis eniĝi en novan krucsignaran interkonsenton, ĉar ĉi tio trudas plian respondecon al la partioj de la interkonsento, senigas ilin de sendependeco kaj ligas iliajn manojn laŭ plenumo de ĉiuj proceduroj kaj reguloj de alia atestadaŭtoritato. Sed pro eblaj problemoj sur granda nombro da Android-aparatoj, la plano estis reviziita. Nova interkonsento estis finita kun la atestadaŭtoritato IdenTrust, en la kadro de kiu alternativa transsubskribita Let's Encrypt meza atestilo estis kreita. La krucsubskribo validos por tri jaroj kaj konservos subtenon por Android-aparatoj ekde versio 2.3.6.
Tamen, la nova meza atestilo ne kovras multajn aliajn heredaĵsistemojn. Ekzemple, kiam la atestilo de DST Root CA X3 malrekomendis la 30-an de septembro, la atestiloj de Let's Encrypt ne plu estos akceptitaj sur nesubtenataj firmvaro kaj operaciumoj, kiuj postulas permane aldoni la ISRG Root X1-atestilon al la radika atestilbutiko por certigi fidon en la atestiloj de Let's Encrypt. . Problemoj manifestiĝos en:
- OpenSSL ĝis branĉo 1.0.2 inkluzive (prizorgado de branĉo 1.0.2 estis ĉesigita en decembro 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Vindozo < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
En la kazo de OpenSSL 1.0.2, la problemo estas kaŭzita de cimo, kiu malhelpas transsubskribitajn atestilojn ĝuste prilabori, se unu el la radikaj atestiloj uzataj por subskribado eksvalidiĝas, eĉ se aliaj validaj ĉenoj de fido restas. La problemo unue aperis pasintjare post kiam la atestilo AddTrust uzata por krucsubskribi atestiloj de la atestadaŭtoritato de Sectigo (Comodo) malnoviĝis. La kerno de la problemo estas, ke OpenSSL analizis la atestilon kiel linia ĉeno, dum laŭ RFC 4158, atestilo povas reprezenti direktitan distribuitan cirklan grafeon kun multoblaj fidaj ankroj, kiujn oni devas konsideri.
Uzantoj de pli malnovaj distribuoj bazitaj sur OpenSSL 1.0.2 ricevas tri solvojn por solvi la problemon:
- Mane forigis la radikan atestilon IdenTrust DST Root CA X3 kaj instalis la memstaran (ne krucsubskribitan) ISRG Root X1 radikan atestilon.
- Kiam vi ruliĝas la komandojn openssl verify kaj s_client, vi povas specifi la opcion "-trusted_first".
- Uzu ĉe la servilo atestilon atestitan per aparta radika atestilo SRG Root X1, kiu ne havas krucsubskribon. Ĉi tiu metodo kondukos al perdo de kongruo kun pli malnovaj Android-klientoj.
Aldone, ni povas rimarki, ke la projekto Let's Encrypt venkis la mejloŝtonon de du miliardoj generitaj atestiloj. La unu miliardo mejloŝtono estis atingita en februaro pasintjare. 2.2-2.4 milionoj da novaj atestiloj estas generitaj ĉiutage. La nombro da aktivaj atestiloj estas 192 milionoj (atestilo validas por tri monatoj) kaj kovras ĉirkaŭ 260 milionojn da domajnoj (195 milionoj da domajnoj estis kovritaj antaŭ jaro, 150 milionoj antaŭ du jaroj, 60 milionoj antaŭ tri jaroj). Laŭ statistiko de la servo Firefox Telemetry, la tutmonda parto de paĝpetoj per HTTPS estas 82% (antaŭ unu jaro - 81%, antaŭ du jaroj - 77%, antaŭ tri jaroj - 69%, antaŭ kvar jaroj - 58%).
fonto: opennet.ru