Irailaren 30ean, Moskuko 17:01etan, IdenTrust konpainiaren erro-ziurtagiria (DST Root CA X3), Let's Encrypt ziurtagiri-agintaritzaren erro-ziurtagiria sinatzeko erabili zena (ISRG Root X1), zeina kontrolatzen duena. komunitatea eta ziurtagiriak doan ematen dizkie guztiei, iraungitzen da. Sinadura gurutzatuak Let's Encrypt ziurtagiriak gailu, sistema eragile eta arakatzaile ugaritan fidagarriak zirela ziurtatu zuen Let's Encrypt-en erroko ziurtagiria erro ziurtagirien biltegietan integratuta zegoen bitartean.
Hasiera batean DST Root CA X3 zaharkitu ondoren, Let's Encrypt proiektua erro ziurtagiria erabiliz sinadurak sortzera pasako zela aurreikusi zen, baina mugimendu horrek bateragarritasuna galtzea ekarriko zuen sistema zaharren kopuru handi batekin gehitu Let's Encrypt erro-ziurtagiria haien biltegietara. Hain zuzen ere, erabiltzen ari diren Android gailuen % 30ak ez du Let's Encrypt erro-ziurtagiriaren daturik, eta 7.1.1aren amaieran kaleratutako Android 2016 plataformarekin bakarrik agertu zen laguntza.
Let's Encrypt-ek ez zuen sinadura gurutzatuko akordio berririk egiteko asmorik, horrek hitzarmeneko alderdiei erantzukizun gehigarria ezartzen dielako, independentzia kentzen die eta eskuak lotzen ditu beste ziurtapen-agintari baten prozedura eta arau guztiak betetzeko. Baina Android gailu ugariren arazo potentzialak zirela eta, plana berrikusi zen. Hitzarmen berri bat sinatu zen IdenTrust ziurtagiri-agintariarekin, eta horren esparruan Let's Encrypt tarteko ziurtagiri alternatibo bat sortu zen. Sinadura gurutzatuak hiru urteko indarraldia izango du eta Android gailuetarako euskarria mantenduko du 2.3.6 bertsiotik aurrera.
Dena den, tarteko ziurtagiri berriak ez ditu beste sistema zahar asko estaltzen. Adibidez, irailaren 3ean DST Root CA X30 ziurtagiria zaharkituta geratzen denean, Let's Encrypt ziurtagiriak ez dira onartuko onartzen ez diren firmware eta sistema eragileetan ISRG Root X1 ziurtagiria eskuz gehitzea erro ziurtagirien biltegian Let's Encrypt ziurtagirietan konfiantza bermatzeko. . Arazoak honela agertuko dira:
- OpenSSL 1.0.2 adarrarte barne (1.0.2 adarraren mantentze-lanak 2019ko abenduan eten ziren);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
OpenSSL 1.0.2-ren kasuan, sinadura gurutzatutako ziurtagiriak behar bezala prozesatzea eragozten duen akats batek eragiten du arazoa, sinatzeko erabilitako erro-ziurtagirietako bat iraungitzen bada, baliozko beste konfiantzazko kate batzuk geratzen badira ere. Arazoa iaz agertu zen lehen aldiz Sectigo (Comodo) ziurtagiri-agintaritzaren ziurtagiriak sinatzeko erabilitako AddTrust ziurtagiria zaharkituta geratu ostean. Arazoaren muina da OpenSSL-k ziurtagiria kate lineal gisa analizatu zuela, RFC 4158-ren arabera, berriz, ziurtagiri batek kontuan hartu beharreko konfiantzazko aingura anitzak dituen grafiko zirkular banatua irudika dezake.
OpenSSL 1.0.2-n oinarritutako banaketa zaharretako erabiltzaileei hiru irtenbide eskaintzen zaizkie arazoa konpontzeko:
- Eskuz kendu zuen IdenTrust DST Root CA X3 erro-ziurtagiria eta instalatu zen ISRG Root X1 erro-ziurtagiri autonomoa (ez sinatuta dagoena).
- Openssl verify eta s_client komandoak exekutatzen dituzunean, "--trusted_first" aukera zehaztu dezakezu.
- Erabili zerbitzarian SRG Root X1 erro-ziurtagiri bereizi batek ziurtatutako ziurtagiria, sinadura gurutzaturik ez duena. Metodo honek Android bezero zaharragoekin bateragarritasuna galtzea ekarriko du.
Gainera, Let's Encrypt proiektuak sortutako bi milioi ziurtagirien mugarria gainditu duela nabarmendu dezakegu. Mila milioiko mugarria iazko otsailean lortu zen. 2.2-2.4 milioi ziurtagiri berri sortzen dira egunero. Ziurtagiri aktiboen kopurua 192 milioikoa da (ziurtagiri batek hiru hilabeterako balio du) eta 260 milioi domeinu inguru hartzen ditu (195 milioi domeinu estali ziren duela urtebete, 150 milioi duela bi urte, 60 milioi duela hiru urte). Firefox Telemetry zerbitzuaren estatistiken arabera, HTTPS bidezko orrialde-eskaeren kuota globala % 82 da (duela urtebete - % 81, duela bi urte - % 77, duela hiru urte - % 69, duela lau urte - % 58).
Iturria: opennet.ru