IdenTrust 루트 인증서가 만료되면 이전 장치에서 Let's Encrypt에 대한 신뢰가 상실됩니다.

30월 17일 모스크바 시간 01시 3분, 커뮤니티에서 관리하는 Let's Encrypt 인증 기관(ISRG Root X1)의 루트 인증서를 교차 서명하는 데 사용된 IdenTrust 루트 인증서(DST Root CA XXNUMX)와 모든 사람에게 무료로 인증서를 제공하며 만료됩니다. 교차 서명을 통해 Let's Encrypt 인증서는 다양한 장치, 운영 체제 및 브라우저에서 신뢰할 수 있으며 Let's Encrypt의 자체 루트 인증서는 루트 인증서 저장소에 통합되었습니다.

원래는 DST 루트 CA X3의 사용이 중단된 후 Let's Encrypt 프로젝트가 루트 인증서만 사용하여 서명을 생성하도록 전환할 계획이었지만, 이러한 이동으로 인해 그렇지 않은 다수의 이전 시스템과의 호환성이 손실될 수 있습니다. Let's Encrypt 루트 인증서를 저장소에 추가합니다. 특히, 사용 중인 Android 장치의 약 30%에는 Let's Encrypt 루트 인증서에 대한 데이터가 없습니다. 이 인증서는 7.1.1년 말에 출시된 Android 2016 플랫폼부터 지원됩니다.

Let's Encrypt는 새로운 교차 서명 계약을 체결할 계획이 없었습니다. 이는 계약 당사자에게 추가 책임을 부과하고 독립성을 박탈하며 다른 인증 기관의 모든 절차 및 규칙 준수 측면에서 손을 묶기 때문입니다. 하지만 다수의 Android 기기에서 발생할 수 있는 문제로 인해 계획이 수정되었습니다. 대체 교차 서명 Let's Encrypt 중간 인증서가 생성된 프레임워크 내에서 IdenTrust 인증 기관과 새로운 계약이 체결되었습니다. 교차 서명은 2.3.6년 동안 유효하며 버전 XNUMX부터 Android 장치에 대한 지원을 유지합니다.

그러나 새로운 중간 인증서에는 다른 많은 레거시 시스템이 포함되지 않습니다. 예를 들어 DST 루트 CA X3 인증서가 30월 1일에 더 이상 사용되지 않으면 Let's Encrypt 인증서에 대한 신뢰를 보장하기 위해 루트 인증서 저장소에 ISRG 루트 XXNUMX 인증서를 수동으로 추가해야 하는 지원되지 않는 펌웨어 및 운영 체제에서 Let's Encrypt 인증서가 더 이상 허용되지 않습니다. . 문제는 다음과 같이 나타납니다.

• OpenSSL 최대 분기 1.0.2 포함(분기 1.0.2의 유지 관리는 2019년 XNUMX월에 중단됨)
• NSS<3.26;
• 자바 8 < 8u141, 자바 7 < 7u151;
• 윈도우 <XP SP3;
• macOS <10.12.1;
• iOS < 10(아이폰 < 5);
• 안드로이드 <2.3.6;
• 모질라 파이어폭스 < 50;
• 우분투 <16.04;
• 데비안 < 8.

OpenSSL 1.0.2의 경우 다른 유효한 신뢰 체인이 남아 있어도 서명에 사용된 루트 인증서 중 하나가 만료되면 교차 서명된 인증서가 올바르게 처리되지 않는 버그로 인해 문제가 발생합니다. 이 문제는 작년에 Sectigo(Comodo) 인증 기관의 인증서를 교차 서명하는 데 사용된 AddTrust 인증서가 더 이상 사용되지 않게 된 후 처음으로 나타났습니다. 문제의 핵심은 OpenSSL이 인증서를 선형 체인으로 구문 분석한 반면, RFC 4158에 따르면 인증서는 고려해야 할 여러 트러스트 앵커가 있는 방향성 분산 원형 그래프를 나타낼 수 있다는 것입니다.

OpenSSL 1.0.2 기반의 이전 배포판 사용자에게는 문제 해결을 위한 세 가지 해결 방법이 제공됩니다.

• IdenTrust DST 루트 CA X3 루트 인증서를 수동으로 제거하고 독립 실행형(교차 서명되지 않음) ISRG 루트 X1 루트 인증서를 설치했습니다.
• openssl verify 및 s_client 명령을 실행할 때 "-trusted_first" 옵션을 지정할 수 있습니다.
• 서버에서는 상호 서명이 없는 별도의 루트 인증서인 SRG Root X1에서 인증한 인증서를 사용합니다. 이 방법을 사용하면 이전 Android 클라이언트와의 호환성이 손실됩니다.

또한 Let's Encrypt 프로젝트는 2.2억 개의 인증서 생성이라는 이정표를 극복했다는 점을 알 수 있습니다. 지난해 2.4월 192억 달성을 달성했다. 매일 260만~195만 개의 새로운 인증서가 생성됩니다. 활성 인증서 수는 150억 60만 개(인증서 유효 기간은 82개월)이며 약 81억 77만 개의 도메인을 포함합니다(69년 전 58억 XNUMX만 개, XNUMX년 전 XNUMX억 XNUMX만 개, XNUMX년 전 XNUMX만 개). Firefox Telemetry 서비스의 통계에 따르면 HTTPS를 통한 페이지 요청의 전 세계 점유율은 XNUMX%(XNUMX년 전 - XNUMX%, XNUMX년 전 - XNUMX%, XNUMX년 전 - XNUMX%, XNUMX년 전 - XNUMX%)입니다.

출처 : opennet.ru