30. syyskuuta klo 17 Moskovan aikaa IdenTrust-juurivarmenne (DST Root CA X01), jolla ristiinallekirjoitettiin Let's Encrypt -varmenneviranomaisen (ISRG Root X3) juurisertifikaatti, jota valvoo yhteisö ja tarjoaa sertifikaatteja maksutta kaikille, vanhenee. Ristiallekirjoituksella varmistettiin, että Let's Encrypt -varmenteisiin luotettiin useissa laitteissa, käyttöjärjestelmissä ja selaimissa, kun taas Let's Encryptin oma juurivarmenne integroitiin juurivarmennevarastoihin.
Alun perin suunniteltiin, että DST Root CA X3:n käytöstä poistamisen jälkeen Let's Encrypt -projekti siirtyisi luomaan allekirjoituksia käyttämällä vain juurivarmennetta, mutta tällainen siirto johtaisi yhteensopivuuden menettämiseen useiden vanhempien järjestelmien kanssa, jotka eivät lisää Let's Encrypt -juurivarmenne arkistoihinsa. Erityisesti noin 30 prosentilla käytössä olevista Android-laitteista ei ole tietoja Let's Encrypt -juurivarmenteesta, jonka tuki ilmestyi vasta vuoden 7.1.1 lopulla julkaistusta Android 2016 -alustasta alkaen.
Let's Encrypt ei suunnitellut solmivansa uutta ristiin allekirjoitussopimusta, koska se asettaa sopimuksen osapuolille lisävastuuta, riistää heiltä riippumattomuuden ja sitoo heidän kätensä toisen varmenneviranomaisen kaikkien menettelyjen ja sääntöjen noudattamisen suhteen. Mutta useiden Android-laitteiden mahdollisten ongelmien vuoksi suunnitelmaa tarkistettiin. IdenTrust-varmenneviranomaisen kanssa solmittiin uusi sopimus, jonka puitteissa luotiin vaihtoehtoinen ristiin allekirjoitettu Let's Encrypt -välisertifikaatti. Ristiallekirjoitus on voimassa kolme vuotta ja säilyttää tuen Android-laitteille versiosta 2.3.6 alkaen.
Uusi välisertifikaatti ei kuitenkaan kata monia muita vanhoja järjestelmiä. Esimerkiksi kun DST Root CA X3 -sertifikaatti vanhenee 30. syyskuuta, Let's Encrypt -varmenteita ei enää hyväksytä tukemattomissa laiteohjelmistoissa ja käyttöjärjestelmissä, jotka edellyttävät ISRG Root X1 -sertifikaatin manuaalista lisäämistä juurivarmennevarastoon varmistaakseen luottamuksen Let's Encrypt -varmenteisiin. . Ongelmat ilmenevät seuraavasti:
- OpenSSL haaraan 1.0.2 asti (haara 1.0.2:n ylläpito lopetettiin joulukuussa 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
OpenSSL 1.0.2:n tapauksessa ongelman aiheuttaa virhe, joka estää ristiinallekirjoitettuja varmenteita käsittelemästä oikein, jos jokin allekirjoittamiseen käytetyistä juurivarmenteista vanhenee, vaikka muita kelvollisia luottamusketjuja olisi jäljellä. Ongelma ilmeni ensimmäisen kerran viime vuonna, kun Sectigo (Comodo) -varmenneviranomaisen varmenteiden ristiin allekirjoittamiseen käytetty AddTrust-sertifikaatti vanheni. Ongelman ydin on, että OpenSSL jäsensi varmenteen lineaarisena ketjuna, kun taas RFC 4158:n mukaan varmenne voi edustaa suunnattua hajautettua ympyräkuvaavaa, jossa on useita huomioitavia ankkureita, jotka on otettava huomioon.
Vanhojen OpenSSL 1.0.2 -jakelujen käyttäjille tarjotaan kolme kiertotapaa ongelman ratkaisemiseksi:
- IdenTrust DST Root CA X3 -juurivarmenne poistettiin manuaalisesti ja asennettiin erillinen (ei ristiin allekirjoitettu) ISRG Root X1 -juurivarmenne.
- Kun suoritat openssl verify- ja s_client-komentoja, voit määrittää "-trusted_first" -vaihtoehdon.
- Käytä palvelimella varmennetta, joka on sertifioitu erillisellä juurisertifikaatilla SRG Root X1, jossa ei ole ristiallekirjoitusta. Tämä menetelmä johtaa yhteensopivuuden menettämiseen vanhempien Android-asiakkaiden kanssa.
Lisäksi voimme todeta, että Let's Encrypt -projekti on ylittänyt kahden miljardin luodun varmenteen virstanpylvään. Miljardin virstanpylväs saavutettiin viime vuoden helmikuussa. Päivittäin syntyy 2.2-2.4 miljoonaa uutta sertifikaattia. Aktiivisia varmenteita on 192 miljoonaa (varmenne on voimassa kolme kuukautta) ja se kattaa noin 260 miljoonaa verkkotunnusta (195 miljoonaa verkkotunnusta suojattiin vuosi sitten, 150 miljoonaa kaksi vuotta sitten, 60 miljoonaa kolme vuotta sitten). Firefox Telemetry -palvelun tilastojen mukaan HTTPS:n kautta tehtyjen sivupyyntöjen globaali osuus on 82 % (vuosi sitten - 81%, kaksi vuotta sitten - 77%, kolme vuotta sitten - 69%, neljä vuotta sitten - 58 %).
Lähde: opennet.ru