Let's Encrypt в 2024: изменения, влияющие на доступ с сстаревших устройств

По заявлениям разработчиков, после четверга, 8 февраля 2024 года, веб-проекты, защищенные бесплатными сертификатами от Let's Encrypt, будут отображать предупреждение ERR_CERT_AUTHORITY_INVALID на устройствах с устаревшими клиентскими операционными системами, например Android 7.0 или более ранней версии. Своими корнями проблема уходит ещё в 2020 год, тогда пользователи Let's Encrypt тоже испытывали проблемы с доступностью сайтов. О других негативных инцидентах мы подробно рассказали в статье «Безопасность превыше всего: защищенные протоколы, HTTPS как норма».

Изначально после своего запуска Let’s Encrypt нуждался в широком доверии к своим сертификатам, которое можно было обеспечить, организовав перекрестную подпись промежуточных сертификатов корневым сертификатом DST X3  от компании IdenTrust.

Это означало, что всем сертификатам от Let’s Encrypt, можно было бы доверять, даже если их собственный ISRG Root X1 еще не пользовался должным уровнем доверия. В последующие годы Root X1 преодолел эту проблему, сертификаты Let’s Encrypt успешно поддерживались всеми современными браузерами, однако, более трети устройств, работающих на Android, все еще находились под управлением старых версий ОС. Допустить, чтобы эти устройства перестали поддерживать Let’s Encrypt означало бы крупномасштабный сбой, поэтому специалисты нашли решение, на этот раз непосредственно на собственном корневом сертификате. Эта временная мера позволила старым устройствам Android продолжать доверять сертификатам Let’s Encrypt еще три года. Но 30 сентября 2024 года истечет срок действия этого решения.

Справедливости ради, за последние три года процент устройств Android, доверяющих ISRG Root X1 от Let’s Encrypt, вырос с 66 % до 93,9 %. В следующем году этот процент еще больше увеличится, особенно после выхода Android версии 14, которая имеет возможность обновлять свое хранилище доверенных сертификатов без полного обновления ОС. Кроме того, отказ от промежуточных решений и сокращение цепочки доверия уменьшит количество байтов сертификата, отправляемых при подтверждении связи TLS более, чем на 40%. Наконец, эта мера значительно сократит эксплуатационные расходы компании и позволит сосредоточить средства на дальнейшем улучшении конфиденциальности и безопасности пользователей, хотя некоторым из них определенно предстоит столкнуться с проблемами.

Первые сложности ожидаются именно 8 февраля 2024 года, но полный переход будет осуществляться в несколько этапов:
• В четверг, 8 февраля 2024 года, будет прекращено предоставление промежуточных сертификатов по умолчанию в запросах к /acme/certificate – конечная точка API. Для большинства пользователей это означает, что ваш клиент ACME настроит цепочку, которая заканчивается в корневом каталоге ISRG X1, и ваш веб-сервер начнет предоставлять эту более короткую цепочку во всех соединениях TLS. Более длинная цепочка, заканчивающаяся перекрестной подписью, срок действия которой скоро истечет, по-прежнему будет доступна в качестве альтернативной цепочки, которую вы можете настроить самостоятельно.

• В четверг, 6 июня 2024 года будет полностью прекращено предоставление более длинной цепочки с перекрестной подписью. До истечения срока действия перекрестной подписи осталось чуть более 90 дней (срок действия одного сертификата), и Let’s Encrypt необходимо убедиться, что у пользователей был хотя бы один сертификат с полным циклом выпуска для перехода из цепочки с перекрестной подписью.

• В понедельник, 30 сентября 2024 года срок действия сертификата с перекрестной подписью истечет. В Let’s Encrypt уверены, что для большинства пользователей это не должно стать проблемой, потому что любые неполадки к тому моменту должны будут произойти в течение предыдущих шести месяцев.

Если поддержка клиентских устройств с устаревшими операционными системами, такими как Android 7.0 или более ранней версии, считается неважной для размещенных веб-сайтов/клиентов, то никаких действий предпринимать не следует.

Если поддержка таких клиентских устройств важна, то рекомендуется выполнить следующие действия:
• Рекомендуйте посетителям веб-сайтов с уязвимыми устройствами начать использовать веб-браузеры, которые используют собственное хранилище доверенных сертификатов, например, Firefox Mobile.
• Переключите затронутые веб-сайты на использование сертификатов SSL, предоставленных другими центрами сертификации и пользующихся доверием затронутых устройств.

Let’s Encrypt, являясь бесплатным SSL-решением, не может гарантировать вам полную надежность и безопасность от негативных инцидентов или отзыва своих сертификатов.

В качестве профессиональной альтернативы, гарантирующей вам все преимущества SSL и отсутствие технических форс-мажоров, мы предлагаем сертификаты от нашего официального партнера и одного из ведущих мировых поставщиков – GlobalSign.

В нашем ассортименте Вы найдете как бюджетные варианты, подходящие небольшим проектам, так и более профессиональные сертификаты для тех, кому важен непревзойденный уровень защиты для обеспечения безопасности своих клиентов и поддержки своей репутации.

Подберите подходящий вариант прямо сейчас:

Выбрать сертификат!

А если у вас остались какие-либо вопросы, наши специалисты будут рады ответить на них по любому удобному для вас каналу связи.