Më 30 shtator në orën 17:01 me kohën e Moskës, certifikata rrënjësore IdenTrust (DST Root CA X3), e cila u përdor për të nënshkruar certifikatën rrënjësore të autoritetit të certifikimit Let's Encrypt (ISRG Root X1), i cili kontrollohet nga komuniteti dhe ofron certifikata falas për të gjithë, skadon. Ndër-nënshkrimi siguroi që certifikatat Let's Encrypt të besoheshin në një gamë të gjerë pajisjesh, sistemesh operative dhe shfletuesish, ndërsa certifikata rrënjësore e Let's Encrypt u integrua në dyqanet e certifikatave rrënjësore.
Fillimisht ishte planifikuar që pas zhvlerësimit të DST Root CA X3, projekti Let's Encrypt do të kalonte në gjenerimin e nënshkrimeve duke përdorur vetëm certifikatën e tij rrënjësore, por një lëvizje e tillë do të çonte në një humbje të përputhshmërisë me një numër të madh sistemesh të vjetra që nuk shtoni certifikatën "Let's Encrypt root" në depot e tyre. Në veçanti, afërsisht 30% e pajisjeve Android në përdorim nuk kanë të dhëna për certifikatën rrënjësore Let's Encrypt, mbështetja për të cilën u shfaq vetëm duke filluar me platformën Android 7.1.1, të lëshuar në fund të 2016.
Let’s Encrypt nuk kishte në plan të lidhte një marrëveshje të re të ndër-nënshkrimit, pasi kjo u imponon përgjegjësi shtesë palëve në marrëveshje, i privon nga pavarësia dhe u lidh duart për sa i përket pajtueshmërisë me të gjitha procedurat dhe rregullat e një autoriteti tjetër certifikues. Por për shkak të problemeve të mundshme në një numër të madh pajisjesh Android, plani u rishikua. Një marrëveshje e re u lidh me autoritetin e certifikimit IdenTrust, në kuadrin e së cilës u krijua një certifikatë e ndërmjetme alternative e ndër-nënshkruar Let's Encrypt. Nënshkrimi i kryqëzuar do të jetë i vlefshëm për tre vjet dhe do të mbajë mbështetjen për pajisjet Android duke filluar me versionin 2.3.6.
Megjithatë, certifikata e re e ndërmjetme nuk mbulon shumë sisteme të tjera të trashëguara. Për shembull, me zhvlerësimin e certifikatës DST Root CA X3 më 30 shtator, certifikatat Let's Encrypt nuk do të pranohen më në firmware dhe sisteme operative të pambështetura që kërkojnë shtimin manual të certifikatës ISRG Root X1 në dyqanin e certifikatave rrënjësore për të siguruar besimin në Let's Kripto certifikatat. Problemet do të shfaqen në:
- OpenSSL deri në degën 1.0.2 përfshirëse (mirëmbajtja e degës 1.0.2 u ndërpre në dhjetor 2019);
- SKK < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
Në rastin e OpenSSL 1.0.2, problemi shkaktohet nga një gabim që parandalon përpunimin e saktë të certifikatave të ndërlidhura nëse skadon një nga certifikatat rrënjësore të përdorura për nënshkrim, edhe nëse mbeten zinxhirë të tjerë të vlefshëm besimi. Problemi u shfaq fillimisht vitin e kaluar pasi certifikata AddTrust e përdorur për të nënshkruar certifikatat nga autoriteti i certifikimit Sectigo (Comodo) u vjetërua. Thelbi i problemit është se OpenSSL analizoi certifikatën si një zinxhir linear, ndërsa sipas RFC 4158, një certifikatë mund të përfaqësojë një grafik rrethor të shpërndarë të drejtuar me ankora të shumta besimi që duhet të merren parasysh.
Përdoruesve të shpërndarjeve të vjetra të bazuara në OpenSSL 1.0.2 u ofrohen tre mënyra për të zgjidhur problemin:
- Hoqi manualisht certifikatën rrënjësore IdenTrust DST Root CA X3 dhe instaloi certifikatën rrënjësore të pavarur (jo të ndërthurur) ISRG Root X1.
- Kur ekzekutoni komandat openssl verify dhe s_client, mund të specifikoni opsionin "--trusted_first".
- Përdorni në server një certifikatë të certifikuar nga një certifikatë rrënjësore e veçantë SRG Root X1, e cila nuk ka një nënshkrim të kryqëzuar. Kjo metodë do të çojë në humbjen e përputhshmërisë me klientët më të vjetër Android.
Për më tepër, mund të vërejmë se projekti Let's Encrypt ka kapërcyer momentin historik të dy miliardë certifikatave të gjeneruara. Pika historike prej një miliardë u arrit në shkurt të vitit të kaluar. 2.2-2.4 milionë certifikata të reja gjenerohen çdo ditë. Numri i certifikatave aktive është 192 milionë (një certifikatë është e vlefshme për tre muaj) dhe mbulon rreth 260 milionë domene (195 milionë domene janë mbuluar një vit më parë, 150 milionë dy vjet më parë, 60 milionë tre vjet më parë). Sipas statistikave nga shërbimi Firefox Telemetry, pjesa globale e kërkesave për faqe përmes HTTPS është 82% (një vit më parë - 81%, dy vjet më parë - 77%, tre vjet më parë - 69%, katër vjet më parë - 58%).
Burimi: opennet.ru