30 Eylül 17:01 Moskova saatinde, topluluk tarafından kontrol edilen Let's Encrypt sertifika yetkilisinin (ISRG Root X3) kök sertifikasını çapraz imzalamak için kullanılan IdenTrust kök sertifikası (DST Root CA X1) ve herkese ücretsiz olarak sertifika verir, süresi dolar. Çapraz imzalama, Let's Encrypt sertifikalarına çok çeşitli cihazlarda, işletim sistemlerinde ve tarayıcılarda güvenilmesini sağlarken, Let's Encrypt'in kendi kök sertifikası da kök sertifika depolarına entegre edildi.
Başlangıçta DST Root CA X3'ün kullanımdan kaldırılmasının ardından Let's Encrypt projesinin yalnızca kök sertifikasını kullanarak imza oluşturmaya geçmesi planlanmıştı, ancak böyle bir geçiş, imzaları imzalamayan çok sayıda eski sistemle uyumluluk kaybına yol açacaktı. Let's Encrypt kök sertifikasını depolarına ekleyin. Özellikle, kullanılan Android cihazların yaklaşık %30'unda, desteği ancak 7.1.1 sonunda piyasaya sürülen Android 2016 platformundan başlayarak ortaya çıkan Let's Encrypt kök sertifikasında veri bulunmuyor.
Let's Encrypt, anlaşmanın taraflarına ek sorumluluk yüklediği, onları bağımsızlıktan mahrum bıraktığı ve başka bir sertifika yetkilisinin tüm prosedür ve kurallarına uyum açısından ellerini bağladığı için yeni bir çapraz imza anlaşması yapmayı planlamadı. Ancak çok sayıda Android cihazdaki olası sorunlar nedeniyle plan revize edildi. IdenTrust sertifika yetkilisi ile, çapraz imzalı alternatif bir Let's Encrypt ara sertifikasının oluşturulduğu yeni bir anlaşma imzalandı. Çapraz imza üç yıl süreyle geçerli olacak ve 2.3.6 sürümünden itibaren Android cihazlara yönelik desteği sürdürecek.
Ancak yeni ara sertifika diğer pek çok eski sistemi kapsamıyor. Örneğin, DST Root CA X3 sertifikası 30 Eylül'de kullanımdan kaldırıldığında Let's Encrypt sertifikaları, Let's Encrypt sertifikalarına güveni sağlamak için ISRG Root X1 sertifikasının kök sertifika deposuna manuel olarak eklenmesini gerektiren desteklenmeyen donanım yazılımı ve işletim sistemlerinde artık kabul edilmeyecektir. . Sorunlar şu şekilde kendini gösterecektir:
- 1.0.2 şubesine kadar ve dahil olmak üzere OpenSSL (1.0.2 şubesinin bakımı Aralık 2019'da durdurulmuştur);
- NSS <3.26;
- Java 8 <8u141, Java 7 <7u151;
- Windows <XP SP3;
- macOS <10.12.1;
- iOS <10 (iPhone <5);
- Android <2.3.6;
- Mozilla Firefox <50;
- Ubuntu <16.04;
- Debian <8.
OpenSSL 1.0.2 durumunda, sorun, diğer geçerli güven zincirleri korunmuş olsa bile, imzalamaya dahil olan kök sertifikalardan birinin süresi dolarsa, çapraz imzalı sertifikaların doğru şekilde işlenmesini engelleyen bir hatadan kaynaklanır. Sorun ilk olarak geçen yıl Sectigo (Comodo) sertifika yetkilisinin sertifikalarında çapraz imza için kullanılan AddTrust sertifikasının süresinin dolmasından sonra ortaya çıktı. Sorunun özü, OpenSSL'nin sertifikayı doğrusal bir zincir olarak ayrıştırması ve RFC 4158'e göre sertifikanın, dikkate alınması gereken birkaç güven bağlantısına sahip yönlendirilmiş dağıtılmış dairesel bir grafiği temsil edebilmesidir.
OpenSSL 1.0.2 tabanlı eski dağıtımların kullanıcılarına, sorunu çözmek için üç geçici çözüm sunulur:
- IdenTrust DST Kök CA X3 kök sertifikasını manuel olarak kaldırdınız ve bağımsız (çapraz imzalı olmayan) ISRG Kök X1 kök sertifikasını yüklediniz.
- Openssl doğrulama ve s_client komutlarını çalıştırırken “-trusted_first” seçeneğini belirleyebilirsiniz.
- Sunucuda, çapraz imzası olmayan ayrı bir kök sertifika SRG Root X1 tarafından onaylanmış bir sertifika kullanın. Bu yöntem eski Android istemcileriyle uyumluluğun kaybolmasına yol açacaktır.
Ayrıca Let's Encrypt projesinin iki milyar üretilen sertifika kilometre taşını aştığını da söyleyebiliriz. Bir milyar dönüm noktasına geçen yıl Şubat ayında ulaşıldı. Her gün 2.2-2.4 milyon yeni sertifika üretiliyor. Aktif sertifikaların sayısı 192 milyondur (bir sertifika üç ay geçerlidir) ve yaklaşık 260 milyon alanı kapsamaktadır (bir yıl önce 195 milyon alan adı, iki yıl önce 150 milyon, üç yıl önce 60 milyon alan adı kapsanmaktaydı). Firefox Telemetri hizmetinden alınan istatistiklere göre, HTTPS aracılığıyla sayfa isteklerinin küresel payı %82'dir (bir yıl önce - %81, iki yıl önce - %77, üç yıl önce - %69, dört yıl önce - %58).
Kaynak: opennet.ru