Szeptember 30-án, moszkvai idő szerint 17:01-kor megjelent az IdenTrust gyökértanúsítványa (DST Root CA X3), amellyel kereszt-aláírták a Let's Encrypt tanúsító hatóság (ISRG Root X1) gyökértanúsítványát, amelyet a közösség és a tanúsítványokat ingyenesen biztosít mindenkinek, lejár. A kereszt-aláírás biztosította, hogy a Let's Encrypt tanúsítványok megbízhatóak legyenek az eszközök, operációs rendszerek és böngészők széles körében, míg a Let's Encrypt saját gyökértanúsítványa beépült a gyökértanúsítvány-tárolókba.
Eredetileg úgy tervezték, hogy a DST Root CA X3 elavulása után a Let's Encrypt projekt csak a gyökértanúsítványt használó aláírások generálására tér át, de egy ilyen lépés a kompatibilitás elvesztéséhez vezetne számos régebbi rendszerrel, amelyek nem adják hozzá a Let's Encrypt gyökértanúsítványt a lerakataikhoz. A használatban lévő Android-eszközök körülbelül 30%-a nem rendelkezik a Let's Encrypt gyökértanúsítvánnyal, amelynek támogatása csak a 7.1.1 végén megjelent Android 2016 platformtól kezdve jelent meg.
A Let's Encrypt nem tervezett új keresztaláírási szerződés megkötését, mivel ez további felelősséget ró a szerződő felekre, megfosztja őket függetlenségüktől és megköti a kezüket egy másik hitelesítő hatóság minden eljárásának és szabályának betartása tekintetében. A számos Android-eszközön előforduló lehetséges problémák miatt azonban a tervet felülvizsgálták. Új szerződést kötöttek az IdenTrust tanúsító hatósággal, melynek keretében alternatív keresztaláírt Let's Encrypt köztes tanúsítvány jött létre. A keresztaláírás három évig lesz érvényes, és fenntartja a 2.3.6-os verziótól kezdődő Android-eszközök támogatását.
Az új köztes tanúsítvány azonban sok más örökölt rendszerre nem vonatkozik. Például amikor a DST Root CA X3 tanúsítvány elavult szeptember 30-án, a Let's Encrypt tanúsítványokat a továbbiakban nem fogadják el a nem támogatott firmware-eken és operációs rendszereken, amelyekhez manuálisan kell hozzáadni az ISRG Root X1 tanúsítványt a gyökértanúsítványtárolóhoz a Let's Encrypt tanúsítványokba vetett bizalom biztosítása érdekében. . A problémák a következőkben nyilvánulnak meg:
- OpenSSL 1.0.2 ágig (az 1.0.2 ág karbantartása 2019 decemberében megszűnt);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
Az OpenSSL 1.0.2 esetében a problémát egy olyan hiba okozza, amely megakadályozza a kereszt-aláírt tanúsítványok megfelelő feldolgozását, ha az aláíráshoz használt gyökértanúsítványok egyike lejár, még akkor is, ha más érvényes bizalmi láncok megmaradnak. A probléma először tavaly merült fel, miután a Sectigo (Comodo) tanúsító hatóságtól származó tanúsítványok kereszt-aláírására használt AddTrust tanúsítvány elavult. A probléma lényege az, hogy az OpenSSL lineáris láncként elemezte a tanúsítványt, míg az RFC 4158 szerint egy tanúsítvány egy irányított elosztott körgráfot képviselhet több megbízhatósági horgonyral, amelyeket figyelembe kell venni.
Az OpenSSL 1.0.2-n alapuló régebbi disztribúciók felhasználóinak három lehetséges megoldás kínálkozik a probléma megoldására:
- Manuálisan eltávolította az IdenTrust DST Root CA X3 gyökértanúsítványt, és telepítette az önálló (nem keresztaláírt) ISRG Root X1 gyökértanúsítványt.
- Az openssl verify és s_client parancsok futtatásakor megadhatja a „--trusted_first” opciót.
- Használjon a szerveren egy külön SRG Root X1 gyökértanúsítvány által hitelesített tanúsítványt, amely nem rendelkezik keresztaláírással. Ez a módszer a régebbi Android-kliensekkel való kompatibilitás elvesztéséhez vezet.
Ezenkívül megjegyezhetjük, hogy a Let's Encrypt projekt túljutott a kétmilliárd tanúsítványból álló mérföldkövön. Az egymilliárdos mérföldkövet tavaly februárban érték el. Naponta 2.2-2.4 millió új tanúsítvány keletkezik. Az aktív tanúsítványok száma 192 millió (egy tanúsítvány három hónapig érvényes), és mintegy 260 millió tartományt fed le (egy éve 195 millió, két éve 150 millió, három éve 60 millió domain). A Firefox Telemetry szolgáltatás statisztikái szerint a HTTPS-en keresztüli oldallekérések globális aránya 82% (egy évvel ezelőtt - 81%, két éve - 77%, három éve - 69%, négy évvel ezelőtt - 58%).
Forrás: opennet.ru