Pada 30 September pada 17:01 waktu Moscow, sijil akar IdenTrust (DST Root CA X3), yang digunakan untuk menandatangani silang sijil akar bagi pihak berkuasa pensijilan Let's Encrypt (ISRG Root X1), yang dikawal oleh komuniti dan menyediakan sijil percuma kepada semua orang, tamat tempoh. Tandatangan silang memastikan sijil Let's Encrypt dipercayai merentas pelbagai peranti, sistem pengendalian dan penyemak imbas manakala sijil akar Let's Encrypt sendiri telah disepadukan ke dalam stor sijil akar.
Pada asalnya dirancang bahawa selepas penamatan DST Root CA X3, projek Let's Encrypt akan beralih kepada menjana tandatangan hanya menggunakan sijil akarnya, tetapi langkah sedemikian akan menyebabkan kehilangan keserasian dengan sejumlah besar sistem lama yang tidak tambahkan sijil akar Let's Encrypt ke repositori mereka. Khususnya, kira-kira 30% daripada peranti Android yang digunakan tidak mempunyai data pada sijil akar Let's Encrypt, sokongan yang muncul hanya bermula dengan platform Android 7.1.1, dikeluarkan pada penghujung 2016.
Let's Encrypt tidak bercadang untuk memasuki perjanjian tandatangan silang baharu, kerana ini mengenakan tanggungjawab tambahan kepada pihak-pihak dalam perjanjian itu, melucutkan kebebasan mereka dan mengikat tangan mereka dari segi pematuhan semua prosedur dan peraturan pihak berkuasa pensijilan lain. Tetapi disebabkan masalah yang berpotensi pada sebilangan besar peranti Android, rancangan itu telah disemak semula. Perjanjian baharu telah dimuktamadkan dengan pihak berkuasa pensijilan IdenTrust, dalam rangka kerja di mana sijil perantaraan Let's Encrypt yang ditandatangani silang alternatif telah dicipta. Tandatangan silang akan sah selama tiga tahun dan akan mengekalkan sokongan untuk peranti Android bermula dengan versi 2.3.6.
Walau bagaimanapun, sijil perantaraan baharu tidak meliputi banyak sistem warisan lain. Contohnya, apabila sijil DST Root CA X3 ditamatkan pada 30 September, sijil Let's Encrypt tidak akan diterima lagi pada perisian tegar dan sistem pengendalian yang tidak disokong yang memerlukan penambahan sijil ISRG Root X1 secara manual pada stor sijil akar untuk memastikan kepercayaan terhadap sijil Let's Encrypt . Masalah akan muncul dalam:
- OpenSSL sehingga cawangan 1.0.2 termasuk (penyelenggaraan cawangan 1.0.2 telah dihentikan pada Disember 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
Dalam kes OpenSSL 1.0.2, masalahnya disebabkan oleh pepijat yang menghalang sijil ditandatangani silang daripada diproses dengan betul jika salah satu sijil akar yang digunakan untuk menandatangani tamat tempoh, walaupun rantaian amanah lain yang sah kekal. Masalah pertama kali muncul tahun lepas selepas sijil AddTrust yang digunakan untuk menandatangani silang sijil daripada pihak berkuasa pensijilan Sectigo (Comodo) menjadi usang. Inti masalahnya ialah OpenSSL menghuraikan sijil sebagai rantaian linear, manakala menurut RFC 4158, sijil boleh mewakili graf pekeliling teragih terarah dengan berbilang sauh amanah yang perlu diambil kira.
Pengguna pengedaran lama berdasarkan OpenSSL 1.0.2 ditawarkan tiga penyelesaian untuk menyelesaikan masalah:
- Mengalih keluar sijil akar IdenTrust DST Root CA X3 secara manual dan memasang sijil akar ISRG Root X1 yang berdiri sendiri (tidak ditandatangani silang).
- Apabila menjalankan perintah pengesahan openssl dan s_client, anda boleh menentukan pilihan "--trusted_first".
- Gunakan pada pelayan sijil yang diperakui oleh sijil akar berasingan SRG Root X1, yang tidak mempunyai tandatangan silang. Kaedah ini akan menyebabkan kehilangan keserasian dengan pelanggan Android yang lebih lama.
Selain itu, kita boleh ambil perhatian bahawa projek Let's Encrypt telah mengatasi pencapaian dua bilion sijil yang dihasilkan. Pencapaian satu bilion itu dicapai pada Februari tahun lalu. 2.2-2.4 juta sijil baharu dijana setiap hari. Bilangan sijil aktif ialah 192 juta (sijil sah selama tiga bulan) dan meliputi kira-kira 260 juta domain (195 juta domain dilindungi setahun lalu, 150 juta dua tahun lalu, 60 juta tiga tahun lalu). Menurut statistik daripada perkhidmatan Telemetri Firefox, bahagian global permintaan halaman melalui HTTPS ialah 82% (setahun lalu - 81%, dua tahun lalu - 77%, tiga tahun lalu - 69%, empat tahun lalu - 58%).
Sumber: opennet.ru