30. september kl. 17:01 Moskva-tid ble rotsertifikatet til IdenTrust-selskapet (DST Root CA X3), som ble brukt til å krysssignere rotsertifikatet til Let's Encrypt-sertifiseringsmyndigheten (ISRG Root X1), som kontrolleres av fellesskapet og gir sertifikater gratis til alle, utløper. Krysssignering sørget for at Let's Encrypt-sertifikater ble klarert på tvers av et bredt spekter av enheter, operativsystemer og nettlesere, mens Let's Encrypts eget rotsertifikat ble integrert i rotsertifikatlagrene.
Det var opprinnelig planlagt at etter avviklingen av DST Root CA X3, skulle Let's Encrypt-prosjektet gå over til å generere signaturer med kun rotsertifikatet, men et slikt trekk ville føre til tap av kompatibilitet med et stort antall eldre systemer som ikke gjorde det. legg til Let's Encrypt-rotsertifikatet til depotene deres. Spesielt har omtrent 30 % av Android-enhetene som er i bruk ikke data på Let's Encrypt-rotsertifikatet, støtte for dette først dukket opp med Android 7.1.1-plattformen, utgitt på slutten av 2016.
Let's Encrypt planla ikke å inngå en ny krysssignaturavtale, da dette pålegger partene i avtalen ytterligere ansvar, fratar dem uavhengighet og binder hendene deres når det gjelder etterlevelse av alle prosedyrer og regler fra en annen sertifiseringsmyndighet. Men på grunn av potensielle problemer på et stort antall Android-enheter, ble planen revidert. Det ble inngått en ny avtale med sertifiseringsmyndigheten IdenTrust, innenfor rammen av denne ble det opprettet et alternativt krysssignert Let's Encrypt mellomsertifikat. Kryssignaturen vil være gyldig i tre år og vil opprettholde støtte for Android-enheter som starter med versjon 2.3.6.
Det nye mellomsertifikatet dekker imidlertid ikke mange andre eldre systemer. For eksempel, når DST Root CA X3-sertifikatet avvikles 30. september, godtas ikke Let's Encrypt-sertifikater lenger på fastvare og operativsystemer som ikke støttes som krever manuelt å legge ISRG Root X1-sertifikatet til rotsertifikatlageret for å sikre tillit til Let's Encrypt-sertifikater . Problemer vil vise seg i:
- OpenSSL opp til gren 1.0.2 inklusive (vedlikehold av gren 1.0.2 ble avviklet i desember 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
Når det gjelder OpenSSL 1.0.2, er problemet forårsaket av en feil som hindrer krysssignerte sertifikater fra å bli behandlet riktig hvis ett av rotsertifikatene som brukes til signering utløper, selv om andre gyldige tillitskjeder gjenstår. Problemet dukket først opp i fjor etter at AddTrust-sertifikatet som ble brukt til å krysssignere sertifikater fra sertifiseringsmyndigheten Sectigo (Comodo) ble foreldet. Problemets kjerne er at OpenSSL analyserte sertifikatet som en lineær kjede, mens et sertifikat ifølge RFC 4158 kan representere en rettet distribuert sirkulær graf med flere tillitsankere som må tas i betraktning.
Brukere av eldre distribusjoner basert på OpenSSL 1.0.2 tilbys tre løsninger for å løse problemet:
- Fjernet IdenTrust DST Root CA X3 rotsertifikatet manuelt og installerte det frittstående (ikke krysssignerte) ISRG Root X1 rotsertifikatet.
- Når du kjører kommandoene openssl verify og s_client, kan du spesifisere alternativet "-trusted_first".
- Bruk på serveren et sertifikat sertifisert av et eget rotsertifikat SRG Root X1, som ikke har en krysssignatur. Denne metoden vil føre til tap av kompatibilitet med eldre Android-klienter.
I tillegg kan vi merke oss at Let's Encrypt-prosjektet har passert milepælen på to milliarder genererte sertifikater. En milliard milepælen ble nådd i februar i fjor. 2.2-2.4 millioner nye sertifikater genereres daglig. Antall aktive sertifikater er 192 millioner (et sertifikat er gyldig i tre måneder) og dekker ca. 260 millioner domener (195 millioner domener ble dekket for et år siden, 150 millioner for to år siden, 60 millioner for tre år siden). I følge statistikk fra Firefox Telemetry-tjenesten er den globale andelen sideforespørsler via HTTPS 82 % (for et år siden – 81 %, for to år siden – 77 %, for tre år siden – 69 %, for fire år siden – 58 %).
Kilde: opennet.ru