Vào ngày 30 tháng 17 lúc 01:3 giờ Moscow, chứng chỉ gốc IdenTrust (DST Root CA X1), được sử dụng để ký chéo chứng chỉ gốc của cơ quan chứng nhận Let's Encrypt (ISRG Root XXNUMX), được kiểm soát bởi cộng đồng và cung cấp chứng chỉ miễn phí cho mọi người, hết hạn. Việc ký chéo đảm bảo rằng chứng chỉ Let's Encrypt được tin cậy trên nhiều loại thiết bị, hệ điều hành và trình duyệt trong khi chứng chỉ gốc của chính Let's Encrypt được tích hợp vào kho chứng chỉ gốc.
Theo kế hoạch ban đầu, sau khi DST Root CA X3 ngừng sử dụng, dự án Let's Encrypt sẽ chuyển sang tạo chữ ký chỉ bằng chứng chỉ gốc của nó, nhưng động thái như vậy sẽ dẫn đến mất khả năng tương thích với một số lượng lớn các hệ thống cũ không hỗ trợ thêm chứng chỉ gốc Let's Encrypt vào kho lưu trữ của họ. Đặc biệt, khoảng 30% thiết bị Android đang sử dụng không có dữ liệu trên chứng chỉ gốc Let's Encrypt, chứng chỉ hỗ trợ này chỉ xuất hiện bắt đầu từ nền tảng Android 7.1.1, được phát hành vào cuối năm 2016.
Let's Encrypt không có kế hoạch ký kết một thỏa thuận chữ ký chéo mới, vì điều này đặt ra trách nhiệm bổ sung cho các bên tham gia thỏa thuận, tước bỏ quyền độc lập của họ và ràng buộc họ về việc tuân thủ tất cả các thủ tục và quy tắc của cơ quan chứng nhận khác. Nhưng do các vấn đề tiềm ẩn trên một số lượng lớn thiết bị Android nên kế hoạch đã được sửa đổi. Một thỏa thuận mới đã được ký kết với cơ quan chứng nhận IdenTrust, trong khuôn khổ đó một chứng chỉ trung gian Let's Encrypt có chữ ký chéo thay thế đã được tạo ra. Chữ ký chéo sẽ có hiệu lực trong ba năm và sẽ duy trì hỗ trợ cho các thiết bị Android bắt đầu từ phiên bản 2.3.6.
Tuy nhiên, chứng chỉ trung gian mới không bao gồm nhiều hệ thống cũ khác. Ví dụ: khi chứng chỉ DST Root CA X3 không còn được dùng nữa vào ngày 30 tháng 1, chứng chỉ Let's Encrypt sẽ không còn được chấp nhận trên phần sụn không được hỗ trợ và các hệ điều hành yêu cầu thêm chứng chỉ ISRG Root XXNUMX theo cách thủ công vào kho chứng chỉ gốc để đảm bảo độ tin cậy trong chứng chỉ Let's Encrypt. . Các vấn đề sẽ biểu hiện ở:
- OpenSSL bao gồm cả nhánh 1.0.2 (việc bảo trì nhánh 1.0.2 đã ngừng hoạt động vào tháng 2019 năm XNUMX);
- NSS < 3.26;
- Java 8 < 8u141, Java 7 < 7u151;
- Windows < XP SP3;
- macOS < 10.12.1;
- iOS < 10 (iPhone < 5);
- Android < 2.3.6;
- Mozilla Firefox < 50;
- Ubuntu < 16.04;
- Debian < 8.
Trong trường hợp OpenSSL 1.0.2, sự cố xảy ra do lỗi khiến chứng chỉ được ký chéo không được xử lý chính xác nếu một trong các chứng chỉ gốc được sử dụng để ký hết hạn, ngay cả khi các chuỗi tin cậy hợp lệ khác vẫn còn. Vấn đề lần đầu tiên xuất hiện vào năm ngoái sau khi chứng chỉ AddTrust được sử dụng để ký chéo các chứng chỉ từ cơ quan chứng nhận Sectigo (Comodo) trở nên lỗi thời. Mấu chốt của vấn đề là OpenSSL đã phân tích chứng chỉ dưới dạng chuỗi tuyến tính, trong khi theo RFC 4158, chứng chỉ có thể biểu thị một biểu đồ tròn phân tán có hướng với nhiều điểm neo tin cậy cần được tính đến.
Người dùng các bản phân phối cũ hơn dựa trên OpenSSL 1.0.2 được cung cấp ba cách giải quyết để giải quyết vấn đề:
- Đã xóa thủ công chứng chỉ gốc IdenTrust DST Root CA X3 và cài đặt chứng chỉ gốc ISRG Root X1 độc lập (không được ký chéo).
- Khi chạy lệnh openssl verify và s_client, bạn có thể chỉ định tùy chọn “--trusted_first”.
- Sử dụng trên máy chủ chứng chỉ được chứng nhận bởi chứng chỉ gốc riêng SRG Root X1, không có chữ ký chéo. Phương pháp này sẽ dẫn đến mất khả năng tương thích với các máy khách Android cũ hơn.
Ngoài ra, chúng ta có thể lưu ý rằng dự án Let's Encrypt đã vượt qua cột mốc hai tỷ chứng chỉ được tạo ra. Cột mốc một tỷ đã đạt được vào tháng 2.2 năm ngoái. 2.4-192 triệu chứng chỉ mới được tạo ra hàng ngày. Số lượng chứng chỉ đang hoạt động là 260 triệu (chứng chỉ có giá trị trong ba tháng) và bao gồm khoảng 195 triệu tên miền (150 triệu tên miền đã được bảo hiểm một năm trước, 60 triệu hai năm trước, 82 triệu ba năm trước). Theo thống kê từ dịch vụ Firefox Telemetry, tỷ lệ yêu cầu trang qua HTTPS trên toàn cầu là 81% (một năm trước - 77%, hai năm trước - 69%, ba năm trước - 58%, bốn năm trước - XNUMX%).
Nguồn: opennet.ru