Den 30 september klockan 17:01 Moskva-tid, IdenTrust rotcertifikat (DST Root CA X3), som användes för att korssignera rotcertifikatet för Let's Encrypt Certification Authority (ISRG Root X1), som kontrolleras av communityn och ger certifikat gratis till alla, löper ut. Korssignering säkerställde att Let's Encrypt-certifikat var betrodda över ett brett utbud av enheter, operativsystem och webbläsare medan Let's Encrypts eget rotcertifikat var integrerat i rotcertifikatarkiv.
Det var ursprungligen planerat att efter utfasningen av DST Root CA X3, skulle Let's Encrypt-projektet gå över till att generera signaturer med endast dess rotcertifikat, men ett sådant drag skulle leda till en förlust av kompatibilitet med ett stort antal äldre system som inte gjorde det. lägg till Let's Encrypt-rotcertifikatet till deras arkiv. I synnerhet har cirka 30 % av Android-enheterna som används inte data på Let's Encrypt-rotcertifikatet, vilket stöd först dök upp med Android 7.1.1-plattformen, som släpptes i slutet av 2016.
Let's Encrypt planerade inte att ingå ett nytt korssignaturavtal, eftersom detta ålägger parterna i avtalet ytterligare ansvar, berövar dem oberoende och binder deras händer när det gäller efterlevnad av alla procedurer och regler från en annan certifieringsmyndighet. Men på grund av potentiella problem på ett stort antal Android-enheter reviderades planen. Ett nytt avtal slöts med certifieringsmyndigheten IdenTrust, inom ramen för vilket ett alternativt korssignerat Let's Encrypt mellancertifikat skapades. Korssignaturen kommer att vara giltig i tre år och kommer att behålla stöd för Android-enheter från och med version 2.3.6.
Det nya mellancertifikatet täcker dock inte många andra äldre system. Till exempel, när DST Root CA X3-certifikatet fasas ut den 30 september, kommer Let's Encrypt-certifikat inte längre att accepteras på fast programvara och operativsystem som inte stöds som kräver manuell tillägg av ISRG Root X1-certifikatet till rotcertifikatarkivet för att säkerställa förtroende för Let's Encrypt-certifikat . Problem kommer att visa sig i:
- OpenSSL upp till gren 1.0.2 inklusive (underhåll av gren 1.0.2 avbröts i december 2019);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
I fallet med OpenSSL 1.0.2 orsakas problemet av en bugg som förhindrar korssignerade certifikat från att behandlas korrekt om ett av rotcertifikaten som används för signering går ut, även om andra giltiga förtroendekedjor finns kvar. Problemet dök upp först förra året efter att AddTrust-certifikatet som användes för att korssignera certifikat från Sectigo (Comodo) certifieringsmyndighet blev föråldrat. Kärnan i problemet är att OpenSSL analyserade certifikatet som en linjär kedja, medan ett certifikat enligt RFC 4158 kan representera en riktad distribuerad cirkulär graf med flera förtroendeankare som måste beaktas.
Användare av äldre distributioner baserade på OpenSSL 1.0.2 erbjuds tre lösningar för att lösa problemet:
- Tog bort IdenTrust DST Root CA X3 rotcertifikat manuellt och installerade det fristående (ej korssignerade) ISRG Root X1 rotcertifikatet.
- När du kör kommandona openssl verify och s_client kan du ange alternativet "--trusted_first".
- Använd på servern ett certifikat som är certifierat av ett separat rotcertifikat SRG Root X1, som inte har en korssignatur. Denna metod kommer att leda till förlust av kompatibilitet med äldre Android-klienter.
Dessutom kan vi notera att Let's Encrypt-projektet har övervunnit milstolpen med två miljarder genererade certifikat. Milstolpen på en miljard nåddes i februari förra året. 2.2-2.4 miljoner nya certifikat genereras dagligen. Antalet aktiva certifikat är 192 miljoner (ett certifikat är giltigt i tre månader) och omfattar cirka 260 miljoner domäner (195 miljoner domäner täcktes för ett år sedan, 150 miljoner för två år sedan, 60 miljoner för tre år sedan). Enligt statistik från Firefox Telemetry-tjänsten är den globala andelen sidförfrågningar via HTTPS 82% (för ett år sedan - 81%, för två år sedan - 77%, för tre år sedan - 69%, för fyra år sedan - 58%).
Källa: opennet.ru