()

Let's Encrypt предупреждает о проблемах совместимости, которые могут возникнуть с января 2021 г.

Корневой сертификат с истекающим сроком действия означает, что каждое третье устройство Android не сможет получить доступ к миллиону сайтов, защищенных Let's Encrypt.

Неумолимо приближается Новый Год, а вместе с ним и печальные новости для пользователей сертификатов Let's Encrypt. Начиная с января 2021 года совместимость с перекрестно подписанным сертификатом центра IdenTrust будет снижена, что затронет как владельцев веб-сайтов, так и пользователей. 



Надвигающаяся проблема связана с тем, что Let's Encrypt больше не использует перекрестную подпись со сторонними корневыми сертификатами. Из-за этого изменения определенные посетители веб-сайтов будут заблокированы и не смогут открыть желаемую страницу если она защищена с помощью Let's Encrypt. На веб-страничке такие пользователи увидят сообщение следующего содержания:


Определенно, это не тот контент, который пользователь желает видеть на веб-ресурсе. Точно так же владельцы сайтов не хотят, чтобы пользователь увидел страницу, которая может вызвать сомнения в безопасности их ресурса. 

 Итак, что именно привело к такому повороту событий? Кого коснутся изменение? И что могут сделать владельцы сайтов, чтобы уменьшить свой ущерб? Давайте посмотрим на ситуацию внимательнее.

Почему возникла проблема?

Формирование этой проблемы восходит корнями к 2015 году, когда компания Let's Encrypt была основана группой Internet Security Research Group (ISRG) и их партнерами. Естественно, сформированный центр имел свой корневой сертификат – DST Root X3. Однако на заре развития добавил перекрестное подписание сертификатом от IdenTrust, так как на тот момент данный сертификат поддерживался всеми ведущими операционными системами для мобильных устройств. Это типичный сценарий действия для новых центров сертификации. Такое решение в сове время позволило новосозданному центру сертификации немедленно приступить к выдаче сертификатов. Однако сотрудничество было прекращено в 2011 году и продолжать его не планируется. Теперь  перенесемся в наши дни: IdenTrust DST Root X3 приближается к дате истечения срока действия 30 сентября 2021 года. 



Let's Encrypt попытался подготовиться к этому событию истечения срока действия, выпустив собственный корневой сертификат ISRG Root X1. К сожалению, у него еще нет полного доверия, которое имело место в корне IdenTrust.  

Несмотря на это, Let's Encrypt начнет выпускать корневые сертификаты, привязанные к их сертификату ISRG Root X1 уже 11 января 2021 года . Поскольку их собственный корень не пользуется широким доверием, какое было у корня IdenTrust, пользователи на некоторых старых платформах (преимущество с версией Android до 7.1.1) не смогут получить доступ к любимым веб-сайтам, использующим сертификат Let's Encrypt SSL / TLS. 

Кто именно пострадает?

Хорошей новостью данного изменения является тот факт, что проблема в первую очередь затрагивает старые платформы, как уже упоминалось – в основном это Android до версии 7.1.1. Однако плохая новость заключается в том, что такими платформами все еще пользуется огромное количество людей по всему миру.

Наиболее значительная группа пострадавших – все, кто использует Android 7.1.1 или более раннюю версию. Становится любопытно, а сколько же пользователей гаджетами использует такие старые версии операционной системы, и ответ может вас удивить – в общей сложности более трети пользователей Андроид ( точнее 33,8% всех устройств на Android) в настоящее время работают с ОС до 7.1.1. И всякий раз, желая посетить какой либо сайт, защищенный Let's Encrypt (в настоящее время к этой категории относятся 225 миллионов доменов) после 11 января следующего года, они будут сталкиваться с ошибками сертификатов и экранами предупреждений, такими как представлен на скрине выше.

Let's Encrypt может оказаться в трудном положении, и это понятно, учитывая характер отрасли. Циклы обновления программного обеспечения слишком медлительны, особенно в случае с операционной системой Android. В этом нет ничего нового, и причины медленного обновления трудно устранить. 

Стоит отметить, что основная проблема здесь не в Let's Encrypt – настоящая проблема кроется в медлительности обновлений программного обеспечения для многих платформ.

Производители или операторы мобильной связи часто модифицируют ОС перед тем, как загрузить ее на свои устройства и передать их конечным пользователям. Таким образом, когда Google выпускает обновления для Android, производители и операторы не могут просто передать обновление своим клиентам. Они должны сначала внести изменения в свои собственные версии программного обеспечения. В большинстве случаев, особенно для всех устройств, кроме новейших моделей, они просто этого не делают из-за больших временных потерь. В некоторых случаях аппаратное обеспечение телефона может даже не поддерживать более новые версии программного обеспечения. Вот почему в настоящее время у нас есть миллионы устройств Android с устаревшими операционными системами, и изменить это на данный момент практически невозможно. 

Старые версии Java также подвержены изменению корневого каталога. Любые клиенты, использующие версии Java до 1.8.0_141-b15, будут получать предупреждения и / или ошибки при обнаружении сертификатов Let's Encrypt.

Это основные «пострадавшие» из тех, которых удалось идентифицировать заранее, но, как мы видели ранее с истечением срока действия root, могут возникнуть дополнительные проблемы совместимости с другими платформами и иными версиями, кроме уже названных.

Что делать?

Владельцы сайтов имеют в своем распоряжении несколько различных вариантов смягчения последствий истечения срока действия root-прав. Во-первых, вы можете предупредить посетителей, которые используют старые версии Android, о том, что им необходимо обновить ПО перед использованием вашего сайта после 11 января 2021 года. Они могут обновить Android или перейти на браузер Firefox Mobile, который не пострадает из-за вводимых изменений благодаря тому, что он полагается на собственный (и регулярно обновляемый) список корневых сертификатов, а не на список сертификатов от операционных систем. Однако это отличная рекомендация лишь в теории, и вряд ли данное решение окажется очень эффективным, поскольку большинство пользователей не захотят обновлять свое устройство или менять привычный браузер только для того, чтобы посетить ваш сайт. Ведь в сети всегда можно найти альтернативу.

Второй совет – вы также можете прекратить поддержку более старых версий операционных систем. Однако это может привести к разочарованию пользователей, увеличению количества запросов в службу поддержки и потере доходов из-за сокращения трафика на вашем ресурсе. 

Владельцы сайтов, использующие ACME, могут изменить настройки своих клиентов, чтобы продолжать использовать сертификаты Let's Encrypt с перекрестной подписью. Однако такое решение тоже недолговечно и будет работать оно только до сентября 2021 года. Тем не менее, это поможет вам выиграть время, чтобы разработать долгосрочное решение. 

Наиболее практичным вариантом, не требующим каких-либо действий со стороны пользователя, является переключение на ЦС с повсеместными корнями, которым доверяют все основные платформы (включая старые системы). Сертификаты от надежных и авторитетных органов власти используют свои собственные проверенные корни в течение многих лет и перекрестно подписывают их с использованием своих старых корней для обеспечения полной совместимости.

Совет от нашей команды: если вы не уверены, как данные изменения повлияет на пользователей вашего веб-сайта, вы можете использовать Google Analytics, чтобы определить, сколько посетителей вашего сайта используют Android 7.1.1 или более раннюю версию. Например наш веб-сайт посещают около 1000 человек с устаревшим ПО в месяц, однако количество посетителей использующих старые версии Android может варьироваться в зависимости от целевой аудитории вашего сайта, его тематики. 

Движение вперед

Let's Encrypt начнет использовать свой новый, менее надежный корень чуть более чем через месяц, поэтому лучше как можно скорее выяснить, как вы собираетесь действовать в данной ситуации. Тем более, что пострадает почти треть всех Android-устройств – а это львиная доля рынка. К сожалению, в данной ситуации нет идеального варианта действий. Если вы являетесь владельцем сайта, вы можете возложить бремя грядущих проблем на своих пользователей, но тогда будете зависеть от них, и их желания обновить свои устройства или потерять доступ к вашему сайту. Или вы можете переключиться на ЦС с корневым каталогом, которому полностью доверяют как новые, так и старые устройства. Это требует определенных усилий с вашей стороны, но кажется небольшой платой, чтобы сохранить доверие, которое вы установили со своей пользовательской базой, и снять проблему с их плеч. Если же вы владелец устройства с устаревшей ОС, подумайте, какой вариант предпочтительнее для вас – обновить ПО, сменить браузер или смириться с потерей доступа к определенным ресурсам.

В любом случае убедитесь, что вы готовы к 11 января!


Подписка оформлена!
Подпишись на новости и получи персональную скидку!

Возврат к списку


5 шагов к безопасному сайту с SSL
Заказать SSL сертификат
Создать CSR запрос
Пройти валидацию
Получить SSL сертификат
Установить SSL сертификат
sectigo_trust