30. septembril kell 17:01 Moskva aja järgi ilmus IdenTrust juursertifikaat (DST Root CA X3), millega allkirjastati Let's Encrypt sertifitseerimisasutuse (ISRG Root X1) juursertifikaat, mida kontrollib kogukond ja annab sertifikaate kõigile tasuta, aegub. Ristallkirjastamine tagas, et Let's Encrypti sertifikaate usaldati paljudes seadmetes, operatsioonisüsteemides ja brauserites, samas kui Let's Encrypti enda juursertifikaat integreeriti juursertifikaadi poodidesse.
Algselt plaaniti, et pärast DST Root CA X3 aegumist läheb projekt Let's Encrypt üle allkirjade genereerimisele, kasutades ainult juursertifikaati, kuid selline samm tooks kaasa ühilduvuse kaotuse paljude vanemate süsteemidega, mis seda ei teinud. lisage oma hoidlatesse juursertifikaat Let's Encrypt. Eelkõige ei ole ligikaudu 30% kasutusel olevatest Android-seadmetest andmeid Let's Encrypt juursertifikaadi kohta, mille tugi ilmus alles alates 7.1.1. aasta lõpus välja antud Android 2016 platvormist.
Let's Encrypt ei plaaninud uut ristallkirjade lepingut sõlmida, kuna see paneb lepingu osapooltele täiendava vastutuse, võtab neilt iseseisvuse ja seob käed teise sertifitseerimisasutuse kõigi protseduuride ja reeglite järgimise osas. Kuid paljude Android-seadmete võimalike probleemide tõttu vaadati plaan läbi. IdenTrust sertifitseerimisasutusega sõlmiti uus leping, mille raames loodi alternatiivne ristallkirjaga Let's Encrypt vahesertifikaat. Ristallkiri kehtib kolm aastat ja toetab Android-seadmeid alates versioonist 2.3.6.
Uus vahesertifikaat ei hõlma aga paljusid teisi pärandsüsteeme. Näiteks kui DST Root CA X3 sertifikaat aegub 30. septembril, ei aktsepteerita Let's Encrypti sertifikaate enam toetamata püsivara ja operatsioonisüsteemide puhul, mis nõuavad Let's Encrypti sertifikaatide usaldusväärsuse tagamiseks ISRG Root X1 sertifikaadi käsitsi lisamist juursertifikaadi salve. . Probleemid ilmnevad järgmiselt:
- OpenSSL kuni haruni 1.0.2 (kaasa arvatud haru 1.0.2 hooldus katkestati 2019. aasta detsembris);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
OpenSSL 1.0.2 puhul põhjustab probleemi viga, mis takistab ristallkirjastatud sertifikaatide korrektset töötlemist, kui üks allkirjastamiseks kasutatud juursertifikaatidest aegub, isegi kui teised kehtivad usaldusahelad jäävad alles. Probleem ilmnes esmakordselt eelmisel aastal pärast seda, kui Sectigo (Comodo) sertifitseerimisasutuse sertifikaatide ristallkirjastamiseks kasutatav AddTrusti sertifikaat vananes. Probleemi tuum seisneb selles, et OpenSSL sõelus sertifikaadi lineaarse ahelana, samas kui RFC 4158 kohaselt võib sertifikaat esindada suunatud hajutatud ringgraafikut mitme usaldusankruga, mida tuleb arvesse võtta.
OpenSSL 1.0.2-l põhinevate vanemate distributsioonide kasutajatele pakutakse probleemi lahendamiseks kolme lahendust:
- IdenTrust DST Root CA X3 juursertifikaat eemaldati käsitsi ja installiti iseseisev (mitte ristallkirjastatud) ISRG Root X1 juursertifikaat.
- Käskude openssl verify ja s_client käivitamisel saate määrata suvandi "--trusted_first".
- Kasutage serveris eraldi juursertifikaadiga SRG Root X1 serditud sertifikaati, millel puudub ristallkiri. See meetod toob kaasa ühilduvuse kaotuse vanemate Androidi klientidega.
Lisaks võime märkida, et projekt Let's Encrypt on ületanud kahe miljardi genereeritud sertifikaadi verstaposti. Miljardi verstapostini jõuti möödunud aasta veebruaris. Iga päev genereeritakse 2.2-2.4 miljonit uut sertifikaati. Aktiivsete sertifikaatide arv on 192 miljonit (sertifikaat kehtib kolm kuud) ja hõlmab umbes 260 miljonit domeeni (aasta tagasi oli kaetud 195 miljonit, kaks aastat tagasi 150 miljonit, kolm aastat tagasi 60 miljonit). Firefoxi telemeetria teenuse statistika kohaselt on HTTPS-i kaudu lehepäringute globaalne osakaal 82% (aasta tagasi - 81%, kaks aastat tagasi - 77%, kolm aastat tagasi - 69%, neli aastat tagasi - 58%).
Allikas: opennet.ru