Den 30. September um 17:01 Moskauer Zäit, den IdenTrust Root Zertifikat (DST Root CA X3), dee benotzt gouf fir de Root Zertifika vun der Let's Encrypt Zertifizéierungsautoritéit (ISRG Root X1) z'ënnerschreiwen, déi vun der Gemeinschaft kontrolléiert gëtt an liwwert Certificaten gratis fir jiddereen, leeft of. Cross-Ënnerschrëft huet gesuergt datt Let's Encrypt Zertifikater iwwer eng breet Palette vun Apparater, Betribssystemer a Browser vertraut goufen, während dem Let's Encrypt säin eegene Root Zertifikat an de Root Zertifika Geschäfter integréiert gouf.
Et war ursprénglech geplangt datt no der Ofschafung vun DST Root CA X3, de Let's Encrypt Projet géif wiesselen op Ënnerschrëften ze generéieren nëmme mat sengem Rootzertifika, awer sou eng Beweegung géif zu engem Verloscht vun der Kompatibilitéit mat enger grousser Zuel vun eelere Systemer féieren, déi net füügt de Let's Encrypt Root Zertifikat op hir Repositories. Besonnesch ongeféier 30% vun Android Apparater am Gebrauch hunn keng Daten iwwer de Let's Encrypt Root Zertifikat, Ënnerstëtzung fir déi erschéngt nëmme mat der Android 7.1.1 Plattform, déi um Enn vum 2016 verëffentlecht gouf.
Let's Encrypt huet net geplangt en neie Cross-Ënnerschrëftofkommes anzegoen, well dëst zousätzlech Verantwortung op d'Parteien zum Ofkommes setzt, se vun der Onofhängegkeet entzunn an hir Hänn verbënnt wat d'Konformitéit mat all Prozeduren a Reegele vun enger anerer Zertifizéierungsautoritéit ugeet. Awer wéinst potenziellen Probleemer op enger grousser Zuel vun Android Apparater gouf de Plang iwwerschafft. En neien Accord gouf mat der IdenTrust Zertifizéierungsautoritéit ofgeschloss, am Kader vun deem en alternativ Kräiz-ënnerschriwwen Let's Encrypt Zwëschenzertifika erstallt gouf. D'Cross-Ënnerschrëft wäert fir dräi Joer gëlteg sinn a wäert d'Ënnerstëtzung fir Android Apparater behalen, déi mat der Versioun 2.3.6 ufänken.
Wéi och ëmmer, den neien Zwëschenzertifika deckt net vill aner Legacy Systemer. Zum Beispill, wann den DST Root CA X3 Zertifikat den 30. September ofgeschaaft gëtt, ginn Let's Encrypt Certificaten net méi op net ënnerstëtzte Firmware a Betribssystemer akzeptéiert, déi manuell d'ISRG Root X1 Zertifikat an de Root Zertifikat Store addéieren fir Vertrauen an Let's Encrypt Certificaten ze garantéieren . Probleemer manifestéiere sech an:
- OpenSSL bis zu Branche 1.0.2 inklusiv (Entretien vun der Branche 1.0.2 gouf am Dezember 2019 gestoppt);
- NSS <3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android <2.3.6;
- Mozilla Firefox <50;
- Ubuntu <16.04;
- Debian < 8.
Am Fall vun OpenSSL 1.0.2 gëtt de Problem duerch e Feeler verursaacht, dee verhënnert datt Kräiz-ënnerschriwwen Zertifikater richteg veraarbecht ginn, wann ee vun de Rootzertifikater, déi fir d'Ënnerschreiwe benotzt ginn, ofleeft, och wann aner gëlteg Vertrauensketten bleiwen. De Problem ass fir d'éischt d'lescht Joer opgetaucht nodeems den AddTrust Zertifika benotzt gouf fir Zertifikater vun der Sectigo (Comodo) Zertifizéierungsautoritéit ze crosssignéieren, verouderd gouf. De Crux vum Problem ass datt OpenSSL den Zertifika als linear Kette parséiert huet, wärend laut RFC 4158, e Certificat kann eng geriicht verdeelt kreesfërmeg Grafik representéieren mat multiple Vertrauensanker, déi berücksichtegt musse ginn.
D'Benotzer vun eelere Verdeelunge baséiert op OpenSSL 1.0.2 ginn dräi Léisunge ugebueden fir de Problem ze léisen:
- Manuell geläscht den IdenTrust DST Root CA X3 Root Zertifikat an installéiert de Stand-alone (net cross-signéiert) ISRG Root X1 Root Zertifikat.
- Wann Dir d'Openssl verifizéieren an s_client Kommandoen leeft, kënnt Dir d'Optioun "--trusted_first" spezifizéieren.
- Benotzt op de Server en Zertifika zertifizéiert vun engem getrennten Rootzertifika SRG Root X1, deen keng Kräiz-Ënnerschrëft huet. Dës Method féiert zum Verloscht vun der Kompatibilitéit mat eeler Android Clienten.
Zousätzlech kënne mir bemierken datt de Let's Encrypt Projet de Meilesteen vun zwou Milliarde generéiert Certificaten iwwerwonne huet. De Meilesteen vun enger Milliard gouf am Februar d'lescht Joer erreecht. 2.2-2.4 Milliounen nei Certificaten ginn all Dag generéiert. D'Zuel vun den aktiven Certificaten ass 192 Milliounen (e Certificat ass gëlteg fir dräi Méint) an deckt ongeféier 260 Milliounen Domänen (195 Milliounen Domänen goufen virun engem Joer ofgedeckt, 150 Milliounen virun zwee Joer, 60 Milliounen virun dräi Joer). Laut Statistike vum Firefox Telemetry Service ass de globale Undeel vun de Säitenfroen iwwer HTTPS 82% (virun engem Joer - 81%, virun zwee Joer - 77%, virun dräi Joer - 69%, viru véier Joer - 58%).
Source: opennet.ru