Op 30 septimber om 17:01 Moskouske tiid, it IdenTrust root-sertifikaat (DST Root CA X3), dat waard brûkt om it root-sertifikaat fan 'e Let's Encrypt-sertifikaasjeautoriteit (ISRG Root X1) te ûndertekenjen, dat wurdt kontrolearre troch de mienskip en jout sertifikaten fergees foar elkenien, ferrint. Cross-ûndertekening soarge derfoar dat Let's Encrypt-sertifikaten waarden fertroud oer in breed skala oan apparaten, bestjoeringssystemen en browsers, wylst it eigen root-sertifikaat fan Let's Encrypt yntegreare waard yn winkels foar root-sertifikaat.
It wie oarspronklik pland dat nei de ôfskriuwing fan DST Root CA X3, it Let's Encrypt-projekt soe oerstappe op it generearjen fan hantekeningen mei allinich syn root-sertifikaat, mar sa'n beweging soe liede ta in ferlies fan kompatibiliteit mei in grut oantal âldere systemen dy't net foegje it Let's Encrypt root-sertifikaat ta oan har repositories. Benammen sawat 30% fan Android-apparaten yn gebrûk hawwe gjin gegevens oer it Let's Encrypt root-sertifikaat, wêrfoar stipe allinich ferskynde te begjinnen mei it Android 7.1.1-platfoarm, útbrocht oan 'e ein fan 2016.
Let's Encrypt wie net fan plan om in nije cross-signature oerienkomst oan te gean, om't dit de partijen by de oerienkomst ekstra ferantwurdlikens opleit, har ûnôfhinklikens ûntslacht en har hannen bindet yn termen fan neilibjen fan alle prosedueres en regels fan in oare sertifisearringsautoriteit. Mar fanwege potinsjele problemen op in grut oantal Android-apparaten, waard it plan feroare. In nije oerienkomst waard sletten mei de IdenTrust-sertifikaasjeautoriteit, yn it ramt wêrfan in alternatyf krús-ûndertekene Let's Encrypt tuskenlizzende sertifikaat makke is. De cross-hântekening sil trije jier jildich wêze en sil stipe behâlde foar Android-apparaten begjinnend mei ferzje 2.3.6.
It nije tuskenlizzende sertifikaat dekt lykwols net in protte oare legacy-systemen. Bygelyks, as it DST Root CA X3-sertifikaat op 30 septimber ôfret, sille Let's Encrypt-sertifikaten net langer wurde akseptearre op net-stipe firmware en bestjoeringssystemen dy't it manuell tafoegjen fan it ISRG Root X1-sertifikaat oan 'e root-sertifikaatwinkel fereaskje om fertrouwen te garandearjen yn Let's Encrypt-sertifikaten . Problemen sille har manifestearje yn:
- OpenSSL oant branch 1.0.2 ynklusyf (ûnderhâld fan branch 1.0.2 waard yn desimber 2019 stopset);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android <2.3.6;
- Mozilla Firefox < 50;
- Ubuntu <16.04;
- Debian < 8.
Yn it gefal fan OpenSSL 1.0.2 wurdt it probleem feroarsake troch in brek dy't foarkomt dat krús-ûndertekene sertifikaten goed wurde ferwurke as ien fan 'e root-sertifikaten brûkt foar ûndertekening ferrint, sels as oare jildige keatlingen fan fertrouwen bliuwe. It probleem dook ferline jier foar it earst op neidat it AddTrust-sertifikaat dat brûkt waard om sertifikaten fan 'e Sectigo (Comodo) sertifisearingsautoriteit ferâldere te wurden. De kruks fan it probleem is dat OpenSSL it sertifikaat as in lineêre keten parsearde, wylst neffens RFC 4158 in sertifikaat in rjochte ferspraat sirkulêre grafyk kin fertsjintwurdigje mei meardere fertrouwenankers dy't yn rekken brocht wurde moatte.
Brûkers fan âldere distribúsjes basearre op OpenSSL 1.0.2 wurde trije oplossingen oanbean om it probleem op te lossen:
- It IdenTrust DST Root CA X3-rootsertifikaat mei de hân fuortsmiten en it stand-alone (net krústekene) ISRG Root X1-rootsertifikaat ynstalleare.
- By it útfieren fan de openssl ferifiearje en s_client kommando's, kinne jo de opsje "--trusted_first" opjaan.
- Brûk op de tsjinner in sertifikaat sertifisearre troch in apart root-sertifikaat SRG Root X1, dy't gjin cross-hântekening hat. Dizze metoade sil liede ta ferlies fan kompatibiliteit mei âldere Android-kliïnten.
Derneist kinne wy opmerke dat it Let's Encrypt-projekt de mylpeal fan twa miljard generearre sertifikaten hat oerwûn. De mylpeal fan ien miljard waard yn febrewaris ferline jier berikt. 2.2-2.4 miljoen nije sertifikaten wurde deistich oanmakke. It oantal aktive sertifikaten is 192 miljoen (in sertifikaat is jildich foar trije moannen) en beslacht sa'n 260 miljoen domeinen (195 miljoen domeinen waarden in jier lyn behannele, 150 miljoen twa jier lyn, 60 miljoen trije jier lyn). Neffens statistiken fan de Firefox Telemetry-tsjinst is it wrâldwide oandiel fan sideoanfragen fia HTTPS 82% (in jier lyn - 81%, twa jier lyn - 77%, trije jier lyn - 69%, fjouwer jier lyn - 58%).
Boarne: opennet.ru