Let’s Encrypt提供了针对废弃软件的Android设备的解决方法

2020-12-23 06:47:47

事情一触即发,但看起来让我们的加密过渡到独立的证书颁发机构(CA)并不会破坏大量的旧Android手机。由于根证书即将过期,这是一个很严重的问题,但是Let's Encrypt提出了一种解决方法。

Let's Encrypt是一个相当新的证书颁发机构,但它也是世界领先的证书颁发机构之一。该服务是推动整个Web通过HTTPS运行的主要参与者,并且作为一个免费,开放的发行机构,它在短短四年内就从零证书变成了十亿证书。对于普通用户,受信任的CA列表通常由您的操作系统或浏览器供应商发布,因此任何新的CA都有很长的推出时间,涉及到地球上每个操作系统和浏览器都将其添加到受信任的CA列表中给非常用户。为了快速启动并运行,Let Encrypt从已建立的CA IdenTrust获得了交叉签名,因此信任IdenTrust的任何浏览器或操作系统现在都可以信任Let Enscrypt,并且该服务可以开始发布有用的信息。证书。

当它于2016年推出时,Let's Encrypt还发布了自己的根证书(" ISRG Root X1")并申请获得主要软件平台的信任,大多数软件平台有时都接受了该证书年。现在,几年后,有了IdenTrust的DST Root X3"证书设置在2021年9月到期,现在让Let's Encrypt站出来依靠自己的根证书了。自从四年前提交以来,可以肯定的是,当前使用的每个支持Web的操作系统都已通过Let's Encrypt的证书进行了更新,对吗?除一个主流操作系统外,其他所有主流操作系统都是如此。坐在房间一角,戴着笨拙的帽子的是Android,这是世界上唯一的主要消费者操作系统,其创建者无法对其进行集中更新。信不信由你,仍然有很多人在运行四年未更新的Android版本。 Let's Encrypt表示它是在7.1.1版(2016年12月发布)中添加到Android的CA存储中的,根据Google的官方统计,有33.8%的活跃Android用户使用的是版本比那个大。鉴于Android每月有25亿强大的活跃用户群,因此2016年冻结根存储的8.45亿人。

在今年早些时候的一篇博客文章中,Let's Encrypt敲响了警钟,说这将是一个问题,并说这是一个束缚。我们致力于为地球上的每个人提供安全且尊重隐私的通信。而且我们知道受Android更新问题影响最大的人是我们最想帮助的人-可能每四年无法购买新手机的人。不幸的是,我们不希望Android使用率在[交叉签名]到期之前发生太大变化。通过现在提高对这一变化的认识,我们希望帮助我们的社区找到前进的最佳途径。"

过期的证书可能会损坏依赖Android系统CA存储来验证其加密连接的应用和浏览器。各个应用程序开发人员可能已切换到有效的证书,并且精明的用户可能已安装Firefox(提供自己的CA存储)。但是大量的服务仍然会中断。

昨天,Let's Encrypt宣布已找到一种解决方案,可以让那些旧的Android手机保持运行状态,而该解决方案就是……继续使用IdenTrust过期的证书?让我们加密说,IdenTrust已同意从其DST根CA X3为我们的ISRG根X1发出为期3年的交叉签名。新的交叉符号将有些新颖,因为它超出了DST根CA X3的到期范围。该解决方案之所以有效,是因为Android故意不强制执行用作信任锚的证书的到期日期。 ISRG和IdenTrust与我们的审核员和根程序取得了联系,以审查该计划并确保不存在合规性问题。"

让我们继续说明,代表DST根CA X3密钥对的自签名证书即将到期。但是浏览器和OS根存储本身不包含证书,它们包含信任锚,以及用于验证证书的标准允许实现选择是否在信任锚上使用字段。 Android特意选择不使用信任锚的notAfter字段。正如我们的ISRG Root X1尚未添加到较旧的Android信任库中一样,DST Root CA X3尚未删除。因此,它可以发出交叉签名,其有效性超出其自身的自签名证书的有效期,而不会出现任何问题。"

很快,我们的加密将开始向订户提供ISRG Root X1和DST Root CA X3证书,它们表示将确保为所有用户提供不间断的服务并避免我们一直担心的潜在破坏。 34; 新的交叉标志将在2024年初到期,并希望从2016年开始的Android版本以及更高版本将在此之前失效。 今天,您的示例已过时八年的Android安装基础始于4.2版本,该版本占据了市场的0.8%。