Платим блогерам
Блоги
fynjy_2005
Как самостоятельность одного сервиса может принести проблемы миллионам пользователей интернета

реклама

Пользователям устройств на база Android давно известно, что жизненный цикл гаджетов зависит не только от работоспособности железа, но и от соответствующей поддержки программной экосистемы. В отличие от устройств на платформе iOS, устройства Android вполне себе могут "жить" на достаточно старых версиях Android. Как стало недавно известно,  все может достаточно сильно измениться. Что же произошло?

Не секрет, что большинство мобильных гаджетов в том числе берутся для доступа и использования онлайн. Каждое устройство для доступа к сайтам должно иметь соответствующие корневые сертификаты (корневой сертификат (СА) — часть ключа, которым центры сертификации подписывают выпущенные SSL-сертификаты. Выдавая корневой сертификат, каждый такой центр гарантирует, что пользователи или организации, запросившие SSL, верифицированы и действия с доменом легальны). Без них доступ к сайтам будет серьёзно ограничен. 

реклама

В 2015 года появился новый сервис Let’s Encrypt

На официальной страничке сервиса мы можем увидеть следующее:

"Let’s Encrypt - бесплатный, автоматизированный и открытый Центр Сертификации, созданный на благо всего общества организацией Internet Security Research Group (ISRG). Мы помогаем людям выпускать SSL/TLS сертификаты для их сайтов с доступом по HTTPS, бесплатно, максимально облегчая процесс выдачи. Потому что хотим сделать интернет безопасным, и уважающим конфиденциальность его пользователей."

06.11.2020 данный сервис сообщил о некоторых изменениях в своей работе с корневыми сертификатами (КС).

  Как объясняют сами Let’s Encrypt, на этапе формирования новых центров сертификации (ЦС) необходимо, чтобы его корневой сертификат пользовался доверием в самых разных операционных системах (ОС) и браузерах. Также понятно, что программная поддержка  нового корневого сертификата ОС-ами и браузерам могут потребоваться годы (безопасность превыше всего), и еще намного больше времени для того, чтобы у людей появились повсеместно соответствующие устройства. Поэтому наиболее оптимальными и быстрым способом интеграции новых КС является перекрестная подпись сертификатов с существующим доверенным ЦС. ЦС Let’s Encrypt  именно таким путем и пошел и 19.10.2015 года стало известно о перекрёстном подписании своих сертификатов Let’s Encrypt с организацией IdenTrust (сертификат DST Root X3). IdenTrust является ведущим поставщиком цифровых сертификатов, которые создают основу для надежных решений идентификации, признанных финансовыми учреждениями, поставщиками медицинских услуг, правительственными учреждениями и предприятиями по всему миру. Так как КС IdenTrust DST Root X3 существует достаточно давно, то все основные программные платформы уже доверяют ему: Windows, Firefox, macOS, Android, iOS и множество дистрибутивов Linux, что сразу позволило сертификатам Let’s Encrypt работать со всеми перечисленными платформами. Фактически, без IdenTrust Let's Encrypt как глобальный ЦС могла бы никогда не состояться. Тем временем Let's Encrypt выпустили свой собственный корневой сертификат (ISRG Root X1) и подали заявку на то, чтобы его поддерживали (доверяли) основные программные платформы.

Let’s Encrypt с  использованием DST Root X3 добилась своего: на 2020 год все актуальные программные платформы поддерживают корневой сертификат ISRG Root X1 и  готовы с ним работать. Так как перекрестная сертификация с DST Root X3 заканчивается 01.09.2021 года Let’s Encrypt сообщает, что вполне способна обойтись без перекрестной сертификации.  Вот здесь и существует проблемы совместимости для обычных пользователей Android.

Естественно, когда к 2016 году началось повсеместное внедрение ISRG Root X1 (к 2016 году), устаревшие к тому моменту программные среды не имеют возможности доверять корневому сертификату Let’s Encrypt напрямую в силу отсутствия соответствующей программной поддержки. Например, сюда входят версии Android 7.1 и более ранние. Это означает, что старые версии Android больше не будут доверять сертификатам, выданным Let’s Encrypt с 01.09.2021 и получать доступ к соответствующим сайтам.

Хотя в настоящий момент корпорация Google официально не предоставляет информацию по распространению различных версий Android, тем не менее некоторую информацию можно получить из Android Studio  (данные на сентябрь 2020):

Таким образом, в настоящее время около 66% устройств Android работают под управлением версии 7.1.1 или выше. Остальные примерно 40% устройств Android имеют более ранние версии и в конечном итоге начнут получать ошибки корневого сертификата при посещении сайтов с сертификатом ISRG Root X1. 

Так же, Let’s Encrypt, исследуя данную проблему, обратилась к крупными интеграторами и обнаружила следующее: средний интернет-трафик устаревших устройств составляет около 1-5%. Естественно, нельзя исключать, что эти цифры упадут к моменту истечения срока действия DST Root X3, но все же рассчитывать на какое-либо существенное падение надеяться  не стоит.

Что нас ждет дальше? Как сообщает Let's Encrypt в своей новости, что как бы им не хотелось, но обеспечение всех пользователей интернета обновленными устройствами - это не их задача, так же как и осуществлять поддержу постоянную поддержку устаревших платформ: решение ка ки раньше лежит в плоскости   перекрестной сертификации, что  прежде всего ограничит действия получателя перекрестной сертификации (опять возникнет взаимозависимость от выдающего ЦС и принимающего ЦС). В настоящее время для Let's Encrypt, как крупного и известного ЦС, на текущем этапе развития наиболее важным является самостоятельность  в использовании и развитии своего ISRG Root X1. Кроме того, нельзя забывать о том, что проблема с обновлением Android никуда не исчезнет и в будущем. 

Именно поэтому Let's Encrypt заранее предупреждает о будущих возможных проблемах всех участников процесса использования корневых сертификатов , чтобы все успели заблаговременно подготовиться.

Что же можно предложить пользователям старых версий Android в данной ситуации?

Как сообщает Let's Encrypt, на настоящий момент пока единственным рабочим решением данной проблемы (не считая обновления Android) является установка  и последующее использование Firefox Mobile, который на момент  написания статьи (ноябрь 2020) поддерживает Android 5.0 и выше. В отличие от большинства браузеров на Android, Firefox поставляется со своим собственным списком доверенных корневых сертификатов. Таким образом, любой, кто установит последнюю версию Firefox, получит возможность воспользоваться обновленным списком доверенных центров сертификации, даже если его операционная система устарела. Больше информации можно получить в разделе community.letsencrypt.org.

3
Показать комментарии (3)

Популярные новости

Сейчас обсуждают