Let's Encrypt решил проблему с продолжением работы сертификатов на старых Android-устройствах
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В ноябре некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, предупредил пользователей о грядущем изменении метода формирования подписей, приводящем к потере совместимости с примерно 33% Android-устройств, находящихся в обиходе.
Представители Let's Encrypt сообщили, что план пересмотрен и совместимость со старыми Android-устройствами будет сохранена ещё как минимум три года.
Запланированное на 11 января изменение API, подразумевающее переход на выдачу по умолчанию сертификатов, заверенных только корневым сертификатом ISRG Root X1, без перекрёстной подписи, перенесено на июнь 2021 года. При этом решено в качестве опции предоставить возможность запроса альтернативного сертификата, заверенного по старой перекрёстной схеме и сохраняющего совместимость с устройствами, в хранилище корневых сертификатов которых не добавлен сертификат Let's Encrypt. Альтернативный сертификат будет сгенерирован в конце января или начале февраля 2021 года в рамках дополнительного соглашения с удостоверяющим центром IdenTrust. В данном сертификате помимо принадлежащего Let's Encrypt корневого сертификата ISRG Root X1 для заверения будет использована кросс-подпись с применением принадлежащего IdenTrust сертификата DST Root CA X3.
Кросс-подпись будет действовать три года, что меньше, чем срок действия основного корневого сертификата ISRG Root X1. Так как время действия кросс-подписи истечёт раньше подписи основным корневым сертификатом Let's Encrypt, не исключено возникновение проблем, аналогичных инциденту с устареванием корневого сертификата AddTrust, применяемого для перекрёстной подписи в сертификатах удостоверяющего центра Sectigo (Comodo). Устаревание перекрёстного сертификата AddTrust было корректно обработано браузерами, но привело к массовым сбоям в системах с OpenSSL и GnuTLS, несмотря на то, что основной корневой сертификат Comodo продолжал действовать и цепочка доверия с актуальным сертификатом сохранялась. Для того, чтобы удостовериться, что новый сертификат Let's Encrypt не создаст похожих проблем с совместимостью, удостоверяющие центры IdenTrust и Let's Encrypt намерены провести рецензирование внедряемой схемы с использованием внешних аудиторов.
Напомним, что принадлежащий Let's Encrypt корневой сертификат поддерживается во всех современных браузерах, но распознаётся только начиная с платформы Android 7.1.1, выпущенной в конце 2016 года. По имеющейся статистике Android 7.1 и более новые выпуски используются лишь на 66.2% от всех Android-устройств. 33.8% находящихся в обиходе Android-устройств не имеют данных о корневом сертификате Let's Encrypt, т.е. требуют для продолжения корректной работы использования сертификата, дополнительно подписанного с использованием корневого сертификата, поддерживаемого в старых выпусках Android. При попытке открытия на подобных устройствах сайтов, подписанных только корневым сертификатом Let's Encrypt, будет выводиться ошибка.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://letsencrypt.org/2020/1...)
- OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
- OpenNews: Let's Encrypt перешёл к проверке с использованием разных подсетей
- OpenNews: Let's Encrypt преодолел рубеж в миллиард сертификатов
- OpenNews: Массовый отзыв сертификатов Let's Encrypt
- OpenNews: Сертификаты Let's Encrypt перестанут восприниматься на 33% Android-устройств
Похожие новости:
- [Разработка под iOS, Разработка мобильных приложений, Разработка под Android, Тестирование мобильных приложений] 3 видео для мобильного разработчика
- [Программирование, Разработка мобильных приложений, Разработка под Android, Развитие стартапа, Софт] Бизнес-идея для программистов. Совершенно незанятая ниша на рынке программ
- [Разработка под Android, SQLite, Kotlin] Полнотекстовый поиск FTS3, FTS4 и FTS5 в Android
- [Программирование, Разработка под Android, Визуализация данных, Криптовалюты] CoinRoad: Как мы сделали приложение на базе кастомных пушей в Android
- [Информационная безопасность, Разработка мобильных приложений, Разработка под Android, Аналитика мобильных приложений] Как правильно идентифицировать Android-устройства
- [Разработка под iOS, Разработка мобильных приложений, IT-инфраструктура, Разработка под Android, DevOps] Да кто такой этот ваш Mobile DevOps?
- [Разработка мобильных приложений] Kotlin Multiplatform. Работаем с многопоточностью на практике. Ч.2
- [Разработка мобильных приложений] Kotlin Multiplatform. Работаем с многопоточностью на практике. Ч.1
- [Тестирование IT-систем, Разработка мобильных приложений, IT-инфраструктура, Разработка под Android, DevOps] VirtualBox — Запуск Android эмулятора в виртуальной среде для тестирования Android проекта
- [Программирование, Разработка под Android] Разрушаем мифы о производительности Android (перевод)
Теги для поиска: #_letsencrypt, #_android
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 02:03
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В ноябре некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, предупредил пользователей о грядущем изменении метода формирования подписей, приводящем к потере совместимости с примерно 33% Android-устройств, находящихся в обиходе. Представители Let's Encrypt сообщили, что план пересмотрен и совместимость со старыми Android-устройствами будет сохранена ещё как минимум три года. Запланированное на 11 января изменение API, подразумевающее переход на выдачу по умолчанию сертификатов, заверенных только корневым сертификатом ISRG Root X1, без перекрёстной подписи, перенесено на июнь 2021 года. При этом решено в качестве опции предоставить возможность запроса альтернативного сертификата, заверенного по старой перекрёстной схеме и сохраняющего совместимость с устройствами, в хранилище корневых сертификатов которых не добавлен сертификат Let's Encrypt. Альтернативный сертификат будет сгенерирован в конце января или начале февраля 2021 года в рамках дополнительного соглашения с удостоверяющим центром IdenTrust. В данном сертификате помимо принадлежащего Let's Encrypt корневого сертификата ISRG Root X1 для заверения будет использована кросс-подпись с применением принадлежащего IdenTrust сертификата DST Root CA X3.  Кросс-подпись будет действовать три года, что меньше, чем срок действия основного корневого сертификата ISRG Root X1. Так как время действия кросс-подписи истечёт раньше подписи основным корневым сертификатом Let's Encrypt, не исключено возникновение проблем, аналогичных инциденту с устареванием корневого сертификата AddTrust, применяемого для перекрёстной подписи в сертификатах удостоверяющего центра Sectigo (Comodo). Устаревание перекрёстного сертификата AddTrust было корректно обработано браузерами, но привело к массовым сбоям в системах с OpenSSL и GnuTLS, несмотря на то, что основной корневой сертификат Comodo продолжал действовать и цепочка доверия с актуальным сертификатом сохранялась. Для того, чтобы удостовериться, что новый сертификат Let's Encrypt не создаст похожих проблем с совместимостью, удостоверяющие центры IdenTrust и Let's Encrypt намерены провести рецензирование внедряемой схемы с использованием внешних аудиторов. Напомним, что принадлежащий Let's Encrypt корневой сертификат поддерживается во всех современных браузерах, но распознаётся только начиная с платформы Android 7.1.1, выпущенной в конце 2016 года. По имеющейся статистике Android 7.1 и более новые выпуски используются лишь на 66.2% от всех Android-устройств. 33.8% находящихся в обиходе Android-устройств не имеют данных о корневом сертификате Let's Encrypt, т.е. требуют для продолжения корректной работы использования сертификата, дополнительно подписанного с использованием корневого сертификата, поддерживаемого в старых выпусках Android. При попытке открытия на подобных устройствах сайтов, подписанных только корневым сертификатом Let's Encrypt, будет выводиться ошибка. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 02:03
Часовой пояс: UTC + 5