30. septembrī pulksten 17:01 pēc Maskavas laika tika atklāts uzņēmuma IdenTrust saknes sertifikāts (DST Root CA X3), ar kuru tika pārrakstīts sertifikācijas iestādes Let's Encrypt saknes sertifikāts (ISRG Root X1), kuru kontrolē kopienai un izsniedz sertifikātus bez maksas visiem, beidzas. Savstarpēja parakstīšana nodrošināja, ka Let's Encrypt sertifikāti tika uzticami plašā ierīču, operētājsistēmu un pārlūkprogrammu klāstā, savukārt paša Let's Encrypt saknes sertifikāts tika integrēts saknes sertifikātu krātuvēs.
Sākotnēji tika plānots, ka pēc DST Root CA X3 novecošanas projekts Let's Encrypt pārslēgsies uz parakstu ģenerēšanu, izmantojot tikai tā saknes sertifikātu, taču šāds solis izraisītu saderības zudumu ar lielu skaitu vecāku sistēmu, kas to nedarīs. pievienojiet to krātuvēm saknes sertifikātu Let's Encrypt. Jo īpaši aptuveni 30% izmantoto Android ierīču nav datu par saknes sertifikātu Let's Encrypt, kura atbalsts parādījās tikai sākot ar Android 7.1.1 platformu, kas tika izlaista 2016. gada beigās.
Uzņēmums Let's Encrypt neplānoja slēgt jaunu savstarpēju parakstu līgumu, jo tas uzliek papildu atbildību līguma pusēm, atņem tām neatkarību un saista rokas attiecībā uz visu citu sertifikācijas iestāžu procedūru un noteikumu ievērošanu. Taču, ņemot vērā iespējamās problēmas daudzās Android ierīcēs, plāns tika pārskatīts. Tika noslēgts jauns līgums ar IdenTrust sertifikācijas iestādi, kura ietvaros tika izveidots alternatīvs šķērsparakstīts Let's Encrypt starpsertifikāts. Savstarpējais paraksts būs derīgs trīs gadus un saglabās atbalstu Android ierīcēm, sākot ar versiju 2.3.6.
Tomēr jaunais starpsertifikāts neaptver daudzas citas mantotās sistēmas. Piemēram, kad DST Root CA X3 sertifikāts novecos 30. septembrī, Let's Encrypt sertifikāti vairs netiks pieņemti neatbalstītās programmaparatūras un operētājsistēmās, kurām ir nepieciešams manuāli pievienot ISRG saknes X1 sertifikātu saknes sertifikātu krātuvei, lai nodrošinātu uzticēšanos Let's Encrypt sertifikātiem. . Problēmas izpaudīsies:
- OpenSSL līdz filiālei 1.0.2 ieskaitot (nozares 1.0.2 uzturēšana tika pārtraukta 2019. gada decembrī);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian <8.
OpenSSL 1.0.2 gadījumā problēmu rada kļūda, kas neļauj pareizi apstrādāt savstarpēji parakstītus sertifikātus, ja beidzas kāds no parakstīšanai izmantotajiem saknes sertifikātiem, pat ja paliek citas derīgas uzticamības ķēdes. Problēma pirmo reizi parādījās pagājušajā gadā pēc tam, kad AddTrust sertifikāts, ko izmantoja Sectigo (Comodo) sertifikācijas iestādes sertifikātu savstarpējai parakstīšanai, kļuva novecojis. Problēmas būtība ir tāda, ka OpenSSL parsēja sertifikātu kā lineāru ķēdi, turpretim saskaņā ar RFC 4158 sertifikāts var attēlot virzītu sadalītu apļveida grafiku ar vairākiem uzticamības enkuriem, kas jāņem vērā.
Vecāku izplatījumu lietotājiem, kuru pamatā ir OpenSSL 1.0.2, problēmas risināšanai tiek piedāvāti trīs risinājumi:
- Manuāli noņemts IdenTrust DST Root CA X3 saknes sertifikāts un instalēts atsevišķs (nav parakstīts) ISRG Root X1 saknes sertifikāts.
- Palaižot komandas openssl verify un s_client, varat norādīt opciju “-trusted_first”.
- Izmantojiet serverī sertifikātu, kas sertificēts ar atsevišķu saknes sertifikātu SRG Root X1, kuram nav savstarpēja paraksta. Izmantojot šo metodi, tiks zaudēta saderība ar vecākiem Android klientiem.
Turklāt mēs varam atzīmēt, ka projekts Let's Encrypt ir pārvarējis divu miljardu ģenerēto sertifikātu pagrieziena punktu. Viena miljarda robežvērtība tika sasniegta pagājušā gada februārī. Katru dienu tiek ģenerēti 2.2–2.4 miljoni jaunu sertifikātu. Aktīvo sertifikātu skaits ir 192 miljoni (sertifikāta derīguma termiņš ir trīs mēneši) un tas aptver aptuveni 260 miljonus domēnu (pirms gada tika segti 195 miljoni domēnu, pirms diviem gadiem - 150 miljoni, pirms trim gadiem - 60 miljoni). Saskaņā ar Firefox Telemetry pakalpojuma statistiku, globālā lapu pieprasījumu daļa, izmantojot HTTPS, ir 82% (pirms gada - 81%, pirms diviem gadiem - 77%, pirms trim gadiem - 69%, pirms četriem gadiem - 58%).
Avots: opennet.ru