Dana 30. rujna u 17:01 po moskovskom vremenu, korijenski certifikat IdenTrust (DST Root CA X3), koji je korišten za unakrsno potpisivanje korijenskog certifikata certifikacijskog tijela Let's Encrypt (ISRG Root X1), kojeg kontrolira zajednica i izdaje certifikate besplatno svima, ističe. Unakrsno potpisivanje osiguralo je pouzdanost Let's Encrypt certifikata na širokom rasponu uređaja, operativnih sustava i preglednika, dok je vlastiti korijenski certifikat Let's Encrypt integriran u pohranu korijenskih certifikata.
Prvotno je planirano da se nakon obustave DST Root CA X3 projekt Let's Encrypt prebaci na generiranje potpisa koristeći samo svoj korijenski certifikat, ali bi takav potez doveo do gubitka kompatibilnosti s velikim brojem starijih sustava koji nisu dodati Let's Encrypt korijenski certifikat u svoja spremišta. Konkretno, oko 30% Android uređaja koji se koriste nema podatke o Let's Encrypt root certifikatu, čija se podrška pojavila tek počevši od platforme Android 7.1.1, objavljene krajem 2016.
Let's Encrypt nije planirao sklopiti novi ugovor o međusobnom potpisivanju jer se time ugovornim stranama nameće dodatna odgovornost, oduzima im se neovisnost te im se vežu ruke u pogledu poštivanja svih procedura i pravila drugog certifikacijskog tijela. Ali zbog potencijalnih problema na velikom broju Android uređaja, plan je revidiran. Sklopljen je novi ugovor s certifikacijskim tijelom IdenTrust u okviru kojeg je izrađen alternativni međucertifikat Let's Encrypt s križnim potpisom. Unakrsni potpis vrijedit će tri godine i zadržat će podršku za Android uređaje počevši od verzije 2.3.6.
Međutim, novi srednji certifikat ne pokriva mnoge druge naslijeđene sustave. Na primjer, kada DST Root CA X3 certifikat bude obustavljen 30. rujna, Let's Encrypt certifikati više neće biti prihvaćeni na nepodržanim firmverima i operativnim sustavima koji zahtijevaju ručno dodavanje ISRG Root X1 certifikata u pohranu korijenskih certifikata kako bi se osiguralo povjerenje u Let's Encrypt certifikate . Problemi će se očitovati u:
- OpenSSL do uključivo grane 1.0.2 (održavanje grane 1.0.2 prekinuto je u prosincu 2019.);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
U slučaju OpenSSL-a 1.0.2, problem je uzrokovan greškom koja sprječava ispravnu obradu unakrsno potpisanih certifikata ako jedan od korijenskih certifikata korištenih za potpisivanje istekne, čak i ako ostali valjani lanci povjerenja ostanu. Problem se prvi put pojavio prošle godine nakon što je certifikat AddTrust koji se koristio za unakrsno potpisivanje certifikata certifikacijskog tijela Sectigo (Comodo) postao zastario. Srž problema je u tome što je OpenSSL raščlanio certifikat kao linearni lanac, dok prema RFC 4158 certifikat može predstavljati usmjereni distribuirani kružni graf s višestrukim sidrištima povjerenja koja treba uzeti u obzir.
Korisnicima starijih distribucija temeljenih na OpenSSL-u 1.0.2 ponuđena su tri rješenja za rješavanje problema:
- Ručno je uklonjen korijenski certifikat IdenTrust DST Root CA X3 i instaliran samostalni (nepotpisani) korijenski certifikat ISRG Root X1.
- Prilikom pokretanja naredbi openssl verify i s_client, možete navesti opciju “--trusted_first”.
- Koristite na poslužitelju certifikat ovjeren zasebnim korijenskim certifikatom SRG Root X1, koji nema unakrsni potpis. Ova će metoda dovesti do gubitka kompatibilnosti sa starijim Android klijentima.
Dodatno, možemo primijetiti da je projekt Let's Encrypt prešao granicu od dvije milijarde generiranih certifikata. Prekretnica od jedne milijarde dosegnuta je u veljači prošle godine. Dnevno se generira 2.2-2.4 milijuna novih certifikata. Broj aktivnih certifikata je 192 milijuna (certifikat vrijedi tri mjeseca) i pokriva oko 260 milijuna domena (prije godinu dana pokriveno je 195 milijuna domena, prije dvije godine 150 milijuna, prije tri godine 60 milijuna). Prema statistici servisa Firefox Telemetry, globalni udio zahtjeva stranica putem HTTPS-a je 82% (prije godinu dana - 81%, prije dvije godine - 77%, prije tri godine - 69%, prije četiri godine - 58%).
Izvor: opennet.ru