Проблема безкоштовних SSL сертифікатов Let’s Encrypt його характеристики та гаранії Україна
Логотип департаменту безпеки WebTrust ТОВ Адграфікс

Let's Encrypt предупреждает о снижении совместимости с января 2021 г.

Истекающий срок действия корневого сертификата означает, что каждое третье устройство Android будет заблокировано с миллионов сайтов, защищенных Let's Encrypt

Начиная с января 2021 года совместимость с сертификатами Let's Encrypt будет снижена, что затронет как владельцев веб-сайтов, так и пользователей. Надвигающаяся проблема связана с тем, что Let's Encrypt больше не использует перекрестную подпись со сторонним корневым сертификатом. Из-за этого переключателя определенные посетители веб-сайтов будут заблокированы от доступа к веб-сайтам, защищенным с помощью Let's Encrypt, и будут встречены сообщением об ошибке.

Возникновение проблемы восходит к 2015 году, когда компания Let's Encrypt была основана группой Internet Security Research Group (ISRG) и их различными партнерами. Let's Encrypt подписали свои сертификаты перекрестно с доверенным корнем DST Root X3 существующего центра сертификации IdenTrust. Это позволило Let's Encrypt немедленно приступить к выдаче сертификатов, которым можно было бы доверять в Интернете. Ожнако... IdenTrust DST Root X3 истекает 30 сентября 2021 года. Let's Encrypt попытался подготовиться к этому событию истечения срока действия IdenTrust DST Root X3, выпустив собственный корневой сертификат ISRG Root X1 и начнет выпускать корневые сертификаты, привязанные к их сертификату ISRG Root X1 11 января 2021 года . Поскольку их собственный корень не пользуется широким доверием корня IdenTrust, пользователи на некоторых старых платформах будут заблокированы от доступа к любому веб-сайту, который использует сертификат Let's Encrypt SSL / TLS. Проблема в первую очередь затрагивает старые платформы которыми все еще пользуется очень большое количество людей. Наиболее значительная группа пострадавших - все, кто использует Android 7.1.1 или более раннюю версию.

Пользователи сертификатов Let's Encrypt может оказаться в сложном положении, и это понятно, учитывая характер отрасли. Циклы обновления программного обеспечения могут быть очень длительными, особенно в операционной системе Android. В этом нет ничего нового, и причины трудно устранить. И основная проблема здесь не в вине Let's Encrypt - настоящая проблема здесь в медленном обновлении программного обеспечения для многих платформ. Производители и / или операторы мобильной связи часто модифицируют ОС перед тем, как загрузить ее на свои устройства и передать их конечным пользователям. Таким образом, когда Google выпускает обновления для Android, производители и операторы не могут просто протолкнуть обновление своим клиентам. Они должны вернуться и внести изменения в свои собственные проприетарные версии программного обеспечения. В большинстве случаев, особенно для всех устройств, кроме новейших, они просто этого не делают. В некоторых случаях аппаратное обеспечение телефона может даже не поддерживать более новые версии программного обеспечения. Вот почему в настоящее время у нас есть миллионы устройств Android с устаревшими операционными системами. Старые версии Java также подвержены изменению корневого каталога. Любые клиенты, использующие версии Java до 1.8.0_141-b15, будут получать предупреждения и / или ошибки при обнаружении сертификатов Let's Encrypt.

Совет: если вы не уверены, как это повлияет на пользователей вашего веб-сайта, вы можете использовать Google Analytics, чтобы определить, сколько пользователей вашего сайта используют Android 7.1.1 или более раннюю версию.

Let's Encrypt начнет использовать свой новый, менее надежный корень чуть более чем через месяц, поэтому лучше как можно скорее выяснить, как вы собираетесь действовать. Тем более, что пострадает почти треть всех Android-устройств. Нет идеального варианта. Вы можете возложить бремя на своих пользователей, но тогда вы будете зависеть от них, чтобы они обновили свои устройства или заблокировали доступ к вашему сайту. Или вы можете переключиться на ЦС с корневым каталогом, которому полностью доверяют как новые, так и старые устройства. Это требует определенных усилий с вашей стороны, но это кажется небольшой платой, чтобы сохранить доверие, которое вы установили со своей пользовательской базой, и снять проблему с их коленей. В любом случае убедитесь, что вы готовы к 11 января!