Pada tanggal 30 September pukul 17:01 waktu Moskow, sertifikat root IdenTrust (DST Root CA X3), yang digunakan untuk menandatangani silang sertifikat root dari otoritas sertifikasi Let's Encrypt (ISRG Root X1), yang dikendalikan oleh komunitas dan memberikan sertifikat gratis kepada semua orang, habis masa berlakunya. Penandatanganan silang memastikan bahwa sertifikat Let's Encrypt dipercaya di berbagai perangkat, sistem operasi, dan browser, sementara sertifikat akar milik Let's Encrypt diintegrasikan ke dalam penyimpanan sertifikat akar.
Awalnya direncanakan bahwa setelah penghentian DST Root CA X3, proyek Let's Encrypt akan beralih ke pembuatan tanda tangan hanya dengan menggunakan sertifikat akarnya, namun langkah seperti itu akan menyebabkan hilangnya kompatibilitas dengan sejumlah besar sistem lama yang tidak melakukannya. tambahkan sertifikat root Let's Encrypt ke repositori mereka. Secara khusus, sekitar 30% perangkat Android yang digunakan tidak memiliki data pada sertifikat root Let's Encrypt, yang dukungannya baru muncul sejak platform Android 7.1.1, yang dirilis pada akhir tahun 2016.
Let's Encrypt tidak berencana untuk mengadakan perjanjian tanda tangan silang yang baru, karena hal ini membebankan tanggung jawab tambahan pada para pihak dalam perjanjian, menghilangkan independensi mereka dan mengikat tangan mereka dalam hal kepatuhan terhadap semua prosedur dan aturan dari otoritas sertifikasi lain. Namun karena potensi masalah pada sejumlah besar perangkat Android, rencana tersebut direvisi. Perjanjian baru dibuat dengan otoritas sertifikasi IdenTrust, di mana sertifikat perantara Let's Encrypt alternatif yang ditandatangani silang telah dibuat. Tanda tangan silang akan berlaku selama tiga tahun dan akan mempertahankan dukungan untuk perangkat Android mulai versi 2.3.6.
Namun, sertifikat perantara yang baru tidak mencakup banyak sistem lama lainnya. Misalnya, ketika sertifikat DST Root CA X3 tidak digunakan lagi pada tanggal 30 September, sertifikat Let's Encrypt tidak akan lagi diterima pada firmware dan sistem operasi yang tidak didukung yang memerlukan penambahan sertifikat ISRG Root X1 secara manual ke penyimpanan sertifikat root untuk memastikan kepercayaan pada sertifikat Let's Encrypt . Masalah akan muncul dalam:
- OpenSSL hingga cabang 1.0.2 inklusif (pemeliharaan cabang 1.0.2 dihentikan pada Desember 2019);
- NSS < 3.26;
- Jawa 8 < 8u141, Jawa 7 < 7u151;
- Windows <XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android <2.3.6;
- Mozilla Firefox <50;
- Ubuntu <16.04;
- Debian <8.
Dalam kasus OpenSSL 1.0.2, masalahnya disebabkan oleh bug yang mencegah sertifikat yang ditandatangani silang diproses dengan benar jika salah satu sertifikat akar yang digunakan untuk penandatanganan kedaluwarsa, meskipun rantai kepercayaan valid lainnya tetap ada. Masalah ini pertama kali muncul tahun lalu setelah sertifikat AddTrust yang digunakan untuk menandatangani silang sertifikat dari otoritas sertifikasi Sectigo (Comodo) menjadi tidak berlaku lagi. Inti masalahnya adalah OpenSSL menguraikan sertifikat sebagai rantai linier, sedangkan menurut RFC 4158, sertifikat dapat mewakili grafik melingkar terdistribusi terarah dengan beberapa jangkar kepercayaan yang perlu diperhitungkan.
Pengguna distribusi lama berdasarkan OpenSSL 1.0.2 ditawarkan tiga solusi untuk memecahkan masalah:
- Menghapus sertifikat root IdenTrust DST Root CA X3 secara manual dan menginstal sertifikat root ISRG Root X1 yang berdiri sendiri (tidak bertanda tangan silang).
- Saat menjalankan perintah openssl verifikasi dan s_client, Anda dapat menentukan opsi “--trusted_first”.
- Gunakan di server sertifikat yang disertifikasi oleh sertifikat root terpisah SRG Root X1, yang tidak memiliki tanda tangan silang. Metode ini akan menyebabkan hilangnya kompatibilitas dengan klien Android lama.
Selain itu, kami dapat mencatat bahwa proyek Let's Encrypt telah melampaui pencapaian dua miliar sertifikat yang dihasilkan. Tonggak sejarah satu miliar dicapai pada bulan Februari tahun lalu. 2.2-2.4 juta sertifikat baru dihasilkan setiap hari. Jumlah sertifikat aktif adalah 192 juta (sertifikat berlaku selama tiga bulan) dan mencakup sekitar 260 juta domain (195 juta domain tercakup tahun lalu, 150 juta dua tahun lalu, 60 juta tiga tahun lalu). Menurut statistik dari layanan Firefox Telemetri, pangsa global permintaan halaman melalui HTTPS adalah 82% (setahun lalu - 81%, dua tahun lalu - 77%, tiga tahun lalu - 69%, empat tahun lalu - 58%).
Sumber: opennet.ru