30. септембра у 17:01 по московском времену, ИденТруст роот сертификат (ДСТ Роот ЦА Кс3), који је коришћен за унакрсно потписивање коренског сертификата ауторитета за сертификацију Лет'с Енцрипт (ИСРГ Роот Кс1), који контролише заједница и даје сертификате бесплатно свима, истиче. Унакрсно потписивање је осигурало да Лет'с Енцрипт сертификати имају поверење у широк спектар уређаја, оперативних система и прегледача, док је сопствени роот сертификат компаније Лет'с Енцрипт интегрисан у основне продавнице сертификата.
Првобитно је било планирано да након застаревања ДСТ Роот ЦА Кс3 пројекат Лет'с Енцрипт пређе на генерисање потписа користећи само свој роот сертификат, али би такав потез довео до губитка компатибилности са великим бројем старијих система који нису додају Лет'с Енцрипт роот сертификат у њихова спремишта. Конкретно, приближно 30% Андроид уређаја који се користе немају податке о роот сертификату Лет'с Енцрипт, подршка за који се појавила тек почевши од платформе Андроид 7.1.1, објављене крајем 2016. године.
Лет'с Енцрипт није планирао да улази у нови уговор о унакрсном потписивању, јер то намеће додатну одговорност странама у споразуму, лишава их независности и везује им руке у погледу поштовања свих процедура и правила другог сертификационог тела. Али због потенцијалних проблема на великом броју Андроид уређаја, план је ревидиран. Закључен је нови уговор са сертификационим органом ИденТруст, у оквиру којег је креиран алтернативни унакрсно потписани Лет'с Енцрипт средњи сертификат. Унакрсни потпис ће важити три године и одржаваће подршку за Андроид уређаје почевши од верзије 2.3.6.
Међутим, нови средњи сертификат не покрива многе друге старе системе. На пример, када ДСТ Роот ЦА Кс3 сертификат застари 30. септембра, Лет'с Енцрипт сертификати се више неће прихватати на неподржаним фирмверима и оперативним системима који захтевају ручно додавање ИСРГ Роот Кс1 сертификата у основно складиште сертификата како би се осигурало поверење у Лет'с Енцрипт сертификате . Проблеми ће се манифестовати у:
- ОпенССЛ до гране 1.0.2 укључујући (одржавање гране 1.0.2 је прекинуто у децембру 2019.);
- НСС < 3.26;
- Јава 8 < 8у141, Јава 7 < 7у151;
- Виндовс < КСП СП3;
- мацОС < 10.12.1;
- иОС < 10 (иПхоне < 5);
- Андроид < 2.3.6;
- Мозилла Фирефок < 50;
- Убунту < 16.04;
- Дебиан < 8.
У случају ОпенССЛ 1.0.2, проблем је узрокован грешком која спречава да се унакрсно потписани сертификати правилно обрађују ако један од основних сертификата који се користе за потписивање истекне, чак и ако остали важећи ланци поверења остају. Проблем се први пут појавио прошле године након што је АддТруст сертификат који се користи за унакрсно потписивање сертификата Сецтиго (Цомодо) сертификационог тела постао застарео. Суштина проблема је у томе што је ОпенССЛ рашчланио сертификат као линеарни ланац, док према РФЦ 4158, сертификат може представљати усмерени дистрибуирани кружни граф са вишеструким сидрима поверења које треба узети у обзир.
Корисницима старијих дистрибуција заснованих на ОпенССЛ 1.0.2 су понуђена три заобилазна решења за решавање проблема:
- Ручно је уклоњен ИденТруст ДСТ Роот ЦА Кс3 роот сертификат и инсталиран самостални (не унакрсно потписан) ИСРГ Роот Кс1 роот сертификат.
- Када покрећете наредбе опенссл верифи и с_цлиент, можете навести опцију „--трустед_фирст“.
- Користите на серверу сертификат оверен посебним коренским сертификатом СРГ Роот Кс1, који нема унакрсни потпис. Овај метод ће довести до губитка компатибилности са старијим Андроид клијентима.
Поред тога, можемо приметити да је пројекат Лет'с Енцрипт превазишао прекретницу од две милијарде генерисаних сертификата. Прекретница од милијарду долара достигнута је у фебруару прошле године. Дневно се генерише 2.2-2.4 милиона нових сертификата. Број активних сертификата је 192 милиона (сертификат важи три месеца) и покрива око 260 милиона домена (пре годину дана покривено је 195 милиона домена, пре две године 150 милиона, пре три године 60 милиона). Према статистици сервиса Фирефок телеметрија, глобални удео захтева страница преко ХТТПС-а је 82% (пре годину дана - 81%, пре две године - 77%, пре три године - 69%, пре четири године - 58%).
Извор: опеннет.ру