Novo leto se hitro bliža in z njim prihaja nekaj žalostnih novic za uporabnike potrdil Let’s Encrypt. Januarja 2021 bo združljivost s certifikati Let’s Encrypt zmanjšana, kar bo vplivalo tako na lastnike spletnih mest kot na uporabnike.
Bližajoča težava je posledica tega, da Let’s Encrypt ne bo več navzkrižno podpisoval s korenskim certifikatom tretje osebe. Zaradi te menjave bo nekaterim obiskovalcem onemogočen dostop do spletnih mest, ki so zaščitena s programom Let’s Encrypt, in prišlo bo do sporočila o napaki, podobnega temu:
Zakaj nastane problem?
Nastanek problema sega vse do leta 2015, ko je Let’s Encrypt z razlilčnimi parterji ustanovila Internet Security Research Group (ISRG). Ker bi lahko trajalo leta, da bi večji brskalniki in operacijski sistemi zaupali njihovemu korenskemu potrdilu, so svoja potrdila navzkrižno podpisali z obstoječim zaupanja vrednim korenskim overiteljem. To je tipičen postopek za nove overitelje.
To je omogočilo Let’s Encrypt, da takoj začne izdajati potrdila, ki so zaupanja vredni. Let’s Encrypt se je poskušal pripraviti na potek certifikata in so izdali lastno korensko potrdilo ISRG Root X1, ki pa žal še nima popolnega zaupanja, kot ga je imel njihov kmalu nekdanji koren IdenTrust.
Kljub temu bo Let’s Encrypt 11. januarja 2021 začel izdajati korenske certifikate, priklenjene na njihovo potrdilo ISRG Root X1. Ker njihov lastni koren nima širokega zaupanja korena IdenTrust, bodo uporabniki na nekaterih starejših platformah, ki uporabljajo Let’s Encrypt SSL/TLS certifikat, blokirani.
Kdo točno bo čutil posledice tega?
Dobra novica je, da težava vpliva predvsem na starejše platforme, slaba pa je, da jih še vedno uporablja zelo veliko ljudi.
Torej vsi, ki uporabljajo:
- Android 7.1.1 ali še starejše verzije
- različice Jave pred 1.8.0_141-b15
Kaj storiti?
Lastniki spletnih strani imajo na voljo nekaj različnih možnosti za ublažitev vpliva izteka korenskega potrdila. Najprej lahko opozorite obiskovalce, ki uporabljajo starejše različice Androida, da jih je treba nadgraditi pred uporabo vašega spletnega mesta. Lahko pa tudi uporabijo brskalnik Firefox mobile, ki se zanaša na svoj (redno posodobljen) seznam korenskih potrdil in ne na seznam operacijskega sistema.
Ker pa je malo verjetno, da bodo uporabniki to storili, je najbolj praktična rešitev ta, ki ne zahteva nobenega ukrepanja iz strani uporabnikov. Prehod na potrdilo zaupanja vrednih in uveljavljenih organov.
Zaključek
Let’s Encrypt bo začel uporabljati svoje novo, manj zaupanja vredno korensko potrdilo v dobrem mesecu dni, zato je najbolje, da čim prej ugotovite, kako boste nadaljevali. Ali boste to breme prestavili na končne uporabnike, ali pa izberite drugo potrdilo, ki mu popolnoma zaupajo tako na novih kot na starih napravah. Kakor koli že, poskrbite, da ste pripravljeni na 11. januar!