30. septembra ob 17:01 po moskovskem času je korensko potrdilo IdenTrust (DST Root CA X3), ki je bilo uporabljeno za navzkrižno podpisovanje korenskega potrdila overitelja Let's Encrypt (ISRG Root X1), ki ga nadzorujeta skupnost in vsem brezplačno zagotavlja certifikate, poteče. Navzkrižno podpisovanje je zagotovilo, da so potrdila Let's Encrypt zaupanja vredna v številnih napravah, operacijskih sistemih in brskalnikih, medtem ko je bilo lastno korensko potrdilo Let's Encrypt integrirano v shrambe korenskih potrdil.
Prvotno je bilo načrtovano, da bo po opustitvi DST Root CA X3 projekt Let's Encrypt prešel na generiranje podpisov samo z uporabo korenskega potrdila, vendar bi takšna poteza povzročila izgubo združljivosti z velikim številom starejših sistemov, ki niso dodajo korensko potrdilo Let's Encrypt v svoje repozitorije. Predvsem približno 30% naprav Android v uporabi nima podatkov o korenskem potrdilu Let's Encrypt, za katerega se je podpora pojavila šele na platformi Android 7.1.1, izdani konec leta 2016.
Let's Encrypt ni načrtoval sklenitve nove pogodbe o navzkrižnem podpisovanju, saj s tem strankam pogodbe nalaga dodatno odgovornost, jim jemlje neodvisnost in jim zavezuje roke glede spoštovanja vseh postopkov in pravil drugega overitelja. Toda zaradi možnih težav na velikem številu naprav Android je bil načrt popravljen. S overiteljem IdenTrust je bila sklenjena nova pogodba, v okviru katere je nastalo alternativno navzkrižno podpisano vmesno potrdilo Let's Encrypt. Navzkrižni podpis bo veljaven tri leta in bo ohranil podporo za naprave Android od različice 2.3.6.
Vendar pa novo vmesno potrdilo ne pokriva številnih drugih podedovanih sistemov. Na primer, ko bo potrdilo DST Root CA X3 30. septembra zastarelo, potrdila Let's Encrypt ne bodo več sprejeta v nepodprto vdelano programsko opremo in operacijske sisteme, ki zahtevajo ročno dodajanje potrdila ISRG Root X1 v shrambo korenskih potrdil, da se zagotovi zaupanje v potrdila Let's Encrypt. . Težave se bodo pokazale v:
- OpenSSL do vključno veje 1.0.2 (vzdrževanje veje 1.0.2 je bilo prekinjeno decembra 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
V primeru OpenSSL 1.0.2 je težavo povzročila napaka, ki preprečuje pravilno obdelavo navzkrižno podpisanih potrdil, če eno od korenskih potrdil, uporabljenih za podpisovanje, poteče, tudi če ostanejo druge veljavne verige zaupanja. Težava se je prvič pojavila lani, potem ko je potrdilo AddTrust, ki se uporablja za navzkrižno podpisovanje potrdil certifikacijskega organa Sectigo (Comodo), postalo zastarelo. Bistvo težave je v tem, da je OpenSSL potrdilo razčlenil kot linearno verigo, medtem ko lahko v skladu z RFC 4158 potrdilo predstavlja usmerjen porazdeljen krožni graf z več sidri zaupanja, ki jih je treba upoštevati.
Uporabnikom starejših distribucij, ki temeljijo na OpenSSL 1.0.2, so na voljo tri rešitve za rešitev težave:
- Ročno odstranjeno korensko potrdilo IdenTrust DST Root CA X3 in nameščeno samostojno (ne navzkrižno podpisano) korensko potrdilo ISRG Root X1.
- Ko izvajate ukaza openssl verify in s_client, lahko podate možnost »-trusted_first«.
- Na strežniku uporabite potrdilo, potrjeno z ločenim korenskim potrdilom SRG Root X1, ki nima navzkrižnega podpisa. Ta metoda bo povzročila izgubo združljivosti s starejšimi odjemalci Android.
Dodatno lahko zapišemo, da je projekt Let's Encrypt presegel mejnik dveh milijard generiranih certifikatov. Mejnik ene milijarde je bil dosežen februarja lani. Dnevno se ustvari 2.2-2.4 milijona novih certifikatov. Število aktivnih certifikatov je 192 milijonov (certifikat velja tri mesece) in pokriva približno 260 milijonov domen (pred letom dni je bilo pokritih 195 milijonov domen, pred dvema letoma 150 milijonov, pred tremi leti 60 milijonov). Po statističnih podatkih storitve Firefox Telemetry je globalni delež zahtevkov strani prek HTTPS 82% (pred enim letom - 81%, pred dvema letoma - 77%, pred tremi leti - 69%, pred štirimi leti - 58%).
Vir: opennet.ru