Sou 30 septanm nan 17:01 lè Moskou, sètifika rasin IdenTrust (DST Root CA X3), ki te itilize pou kwaze sètifika rasin nan otorite sètifikasyon Let's Encrypt (ISRG Root X1), ki kontwole pa kominote a ak bay sètifika gratis pou tout moun, ekspire. Siyen kwa te asire ke sètifika Let's Encrypt yo te fè konfyans atravè yon pakèt aparèy, sistèm opere, ak navigatè pandan y ap pwòp sètifika rasin Let's Encrypt te entegre nan magazen sètifika rasin yo.
Li te okòmansman te planifye ke apre depresyasyon DST Root CA X3, pwojè Let's Encrypt la ta chanje a jenere siyati lè l sèvi avèk sèlman sètifika rasin li yo, men yon mouvman konsa ta mennen nan yon pèt konpatibilite ak yon gwo kantite sistèm ki pi gran ki pa t '. ajoute sètifika rasin Let's Encrypt nan depo yo. An patikilye, apeprè 30% nan aparèy android yo itilize pa gen done sou sètifika rasin ann ankripte, sipò pou ki te parèt sèlman kòmanse ak platfòm Android 7.1.1, lage nan fen 2016.
Ann Encrypt pa t planifye pou antre nan yon nouvo akò kwa-siyati, kòm sa a enpoze plis responsablite sou pati yo nan akò a, prive yo nan endepandans ak mare men yo an tèm de konfòmite ak tout pwosedi ak règ nan yon lòt otorite sètifikasyon. Men, akòz pwoblèm potansyèl sou yon gwo kantite aparèy android, plan an te revize. Yon nouvo akò te konkli ak otorite sètifikasyon IdenTrust, nan kad ki yon altènatif kwa-siyen Let's Encrypt sètifika entèmedyè te kreye. Kwa-siyati a pral valab pou twa ane epi li pral kenbe sipò pou aparèy Android kòmanse ak vèsyon 2.3.6.
Sepandan, nouvo sètifika entèmedyè a pa kouvri anpil lòt sistèm eritaj. Pa egzanp, lè sètifika DST Root CA X3 demode nan dat 30 septanm nan, yo p ap aksepte sètifika pou Let's Encrypt sou firmwèr ak sistèm opere ki pa sipòte ki mande pou ajoute sètifika ISRG Root X1 manyèlman nan magazen sètifika rasin lan pou asire konfyans nan sètifika Let's Encrypt. . Pwoblèm yo pral manifeste tèt yo nan:
- OpenSSL jiska branch 1.0.2 enklizif (antretyen branch 1.0.2 te sispann an Desanm 2019);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox <50;
- Ubuntu < 16.04;
- Debian <8.
Nan ka OpenSSL 1.0.2, pwoblèm nan koze pa yon ensèk ki anpeche sètifika kwa-siyen yo trete kòrèkteman si youn nan sètifika rasin yo itilize pou siyen ekspire, menm si lòt chèn konfyans valab rete. Pwoblèm nan te parèt premye ane pase apre sètifika AddTrust yo te itilize pou siyen sètifika ki soti nan otorite sètifikasyon Sectigo (Comodo) te vin demode. Prensipal pwoblèm nan se ke OpenSSL analize sètifika a kòm yon chèn lineyè, tandiske dapre RFC 4158, yon sètifika ka reprezante yon graf sikilè distribye ki dirije ak plizyè lankr konfyans ki bezwen pran an kont.
Itilizatè ki pi gran distribisyon ki baze sou OpenSSL 1.0.2 yo ofri twa solisyon pou rezoud pwoblèm nan:
- Manyèlman retire sètifika rasin IdenTrust DST Rasin CA X3 epi enstale sètifika rasin ISRG Root X1 otonòm (pa siyen kwa).
- Lè w ap kouri kòmandman openssl verify ak s_client, ou ka presize opsyon "--trusted_first".
- Sèvi ak sou sèvè a yon sètifika ki sètifye pa yon sètifika rasin separe SRG Root X1, ki pa gen yon kwa-siyati. Metòd sa a ap mennen nan pèt nan konpatibilite ak pi gran kliyan android.
Anplis de sa, nou ka remake ke pwojè Let's Encrypt la te simonte etap enpòtan nan de milya sètifika pwodwi yo. Yo te rive jwenn yon milya dola nan mwa fevriye ane pase a. 2.2-2.4 milyon nouvo sètifika yo pwodwi chak jou. Kantite sètifika aktif se 192 milyon dola (yon sètifika valab pou twa mwa) epi li kouvri anviwon 260 milyon domèn (195 milyon domèn yo te kouvri yon ane de sa, 150 milyon de ane de sa, 60 milyon twa ane de sa). Dapre estatistik ki soti nan sèvis Firefox Telemetry, pataje mondyal demann paj atravè HTTPS se 82% (yon ane de sa - 81%, de zan de sa - 77%, twa ane de sa - 69%, kat ane de sa - 58%).
Sous: opennet.ru