Tanggal 30 September ing 17:01 wektu Moskow, sertifikat ROOT IdenTrust (DST ROOT CA X3), sing digunakake kanggo tandha tandha sertifikat ROOT saka otoritas sertifikasi Ayo Encrypt (ISRG Root X1), sing dikontrol dening komunitas lan menehi sertifikat gratis kanggo kabeh wong, kadaluwarsa. Penandatanganan silang mesthekake yen sertifikat Ayo Encrypt dipercaya ing macem-macem piranti, sistem operasi, lan browser nalika sertifikat root Let's Encrypt dhewe digabungake menyang toko sertifikat root.
Wiwitane direncanakake yen sawise ngilangi DST Root CA X3, proyek Ayo Encrypt bakal ngalih menyang ngasilake teken nggunakake mung sertifikat root, nanging pamindhahan kasebut bakal nyebabake kompatibilitas karo akeh sistem lawas sing ora ana. tambahake sertifikat root Ayo Encrypt menyang repositori. Utamane, kira-kira 30% piranti Android sing digunakake ora duwe data ing sertifikat root Let's Encrypt, dhukungan sing mung diwiwiti karo platform Android 7.1.1, dirilis ing pungkasan taun 2016.
Ayo Encrypt ora rencana kanggo mlebu menyang persetujuan salib-teken anyar, amarga iki nemtokke tanggung jawab tambahan ing pihak kanggo persetujuan, deprives wong kamardikan lan ikatan tangan ing syarat-syarat selaras karo kabeh tata cara lan aturan saka panguwasa sertifikasi liyane. Nanging amarga ana masalah potensial ing akeh piranti Android, rencana kasebut direvisi. Persetujuan anyar dirampungake karo panguwasa sertifikasi IdenTrust, ing kerangka sing nggawe sertifikat perantara Let's Encrypt sing ditandatangani salib alternatif. Tandha silang bakal sah sajrone telung taun lan bakal njaga dhukungan kanggo piranti Android sing diwiwiti karo versi 2.3.6.
Nanging, sertifikat penengah anyar ora nyakup akeh sistem warisan liyane. Contone, nalika sertifikat DST ROOT CA X3 deprecates ing September 30, Ayo Encrypt sertifikat ora bakal ditampa maneh ing perangkat kukuh unsupported lan sistem operasi sing mbutuhake manual nambah sertifikat ISRG ROOT X1 kanggo nyimpen certificate ROOT kanggo njamin kapercayan ing sertifikat Ayo Encrypt. . Masalah bakal katon ing:
- OpenSSL nganti cabang 1.0.2 kalebu (pangopènan cabang 1.0.2 dihentikan ing Desember 2019);
- NSS <3.26;
- Jawa 8 < 8u141, Jawa 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android < 2.3.6;
- Mozilla Firefox <50;
- Ubuntu < 16.04;
- Debian <8.
Ing kasus OpenSSL 1.0.2, masalah kasebut disebabake bug sing ngalangi sertifikat sing ditandatangani salib ora bisa diproses kanthi bener yen salah siji saka sertifikat ROOT sing digunakake kanggo mlebu kadaluwarsa, sanajan rantai kepercayaan liyane sing sah tetep. Masalah kasebut pisanan muncul ing taun kepungkur sawise sertifikat AddTrust sing digunakake kanggo menehi tandha tandha sertifikat saka otoritas sertifikasi Sectigo (Comodo) dadi lungse. Inti saka masalah kasebut yaiku OpenSSL ngurai sertifikat kasebut minangka rantai linear, dene miturut RFC 4158, sertifikat bisa makili grafik bunder sing disebarake kanthi macem-macem jangkar kepercayaan sing kudu digatekake.
Pangguna distribusi lawas adhedhasar OpenSSL 1.0.2 ditawakake telung solusi kanggo ngatasi masalah kasebut:
- Kanthi manual mbusak sertifikat ROOT IdenTrust DST ROOT CA X3 lan nginstal sertifikat ROOT ISRG ROOT X1 kanthi mandiri (ora mlebu salib).
- Nalika mbukak openssl verifikasi lan printah s_client, sampeyan bisa nemtokake pilihan "-trusted_first".
- Gunakake ing server sertifikat certified dening certificate ROOT kapisah SRG ROOT X1, kang ora duwe salib-teken. Cara iki bakal nyebabake ilang kompatibilitas karo klien Android lawas.
Kajaba iku, kita bisa nyathet yen proyek Ayo Encrypt wis ngatasi tonggak sejarah rong milyar sertifikat sing digawe. Tonggak sejarah siji milyar wis digayuh ing wulan Februari taun kepungkur. 2.2-2.4 yuta sertifikat anyar digawe saben dina. Jumlah sertifikat aktif yaiku 192 yuta (sertifikat valid telung sasi) lan nyakup babagan 260 yuta domain (195 yuta domain dilindhungi setahun kepungkur, 150 yuta rong taun kepungkur, 60 yuta telung taun kepungkur). Miturut statistik saka layanan Firefox Telemetry, pangsa global panjalukan kaca liwat HTTPS yaiku 82% (setaun kepungkur - 81%, rong taun kepungkur - 77%, telung taun kepungkur - 69%, patang taun kepungkur - 58%).
Source: opennet.ru