Обновление: Компания Let’s Encrypt нашла решение, которое позволяет устройствам Android оставаться совместимыми с их сертификатами. Вы можете прочитать о расширенной совместимости
здесь
.
С момента своего создания Let’s Encrypt выпустила более миллиарда бесплатных сертификатов по всему миру. CA с открытым исходным кодом значительно способствовал внедрению HTTPS; однако, Не всегда все шло гладко. Теперь пользователям сертификатов Let’s Encrypt следует готовиться к новой “буре”. Начиная с января 2021 года, сертификаты Let’s Encrypt будут менее совместимы со старыми устройствами и приложениями, что скажется как на пользователях, так и на владельцах сайтов.
Виной тому – истекающий срок действия корневого сертификата стороннего производителя, который Let’s Encrypt использует для сшивания своих сертификатов. Это стандартная практика для новых ЦС – перекрестное подписание своих сертификатов с доверенным корнем существующего ЦС. Еще в 2015 году, когда компания Let’s Encrypt появилась на сцене SSL, ее собственный корневой сертификат не мог быть доверен всеми основными браузерами и операционными системами. Проходят годы, прежде чем новые корни проходят все аудиты и проверки безопасности, поэтому Let’s Encrypt выбрала сертификат IdenTrust DST Root X3.
Перекрестное подписание позволило Let’s Encrypt сразу же выпустить действительные и надежные SSL-сертификаты. Все было хорошо, пока не подошло время окончания срока действия корня IdenTrust. Срок его действия истекает 30 сентября 2021 года, и это создает проблему совместимости для Let’s Encrypt и его пользователей.
Несмотря на то, что Let’s Encrypt начнет выпускать корневые сертификаты, привязанные к их ISRG Root X1, 11 января 2021 года, их корень не имеет такого же диапазона совместимости, как корень IdenTrust. К сожалению, пользователи старых браузеров и платформ будут получать предупреждение о SSL-соединении при попытке зайти на сайты, защищенные Let’s Encrypt.
Пользователи Android – наиболее пострадавшие от этой проблемы
Не все будут испытывать снижение совместимости. В первую очередь страдают пользователи Android 7.1.1 или более ранних версий. И хотя для некоторых такие старые версии могут показаться архаичными, более 30% устройств Android все еще работают под их управлением. Эти пользователи не смогут получить доступ к сайтам с сертификатами Let’s Encrypt. Вместо этого браузеры встретят их неприятными ошибками сертификатов.
У Let’s encrypt огромная проблема, но это не их вина, что многие известные платформы так медленно выпускают обновления программного обеспечения. В основном, проблема связана с тем, как производители мобильных телефонов используют ОС Android. Когда Google выпускает обновление, оно не сразу попадает на все устройства, использующие его.
Чаще всего производители игнорируют старые гаджеты, а в худшем случае старые телефоны даже не могут поддерживать последние обновления. Вот почему миллионы устройств Android используют устаревшие операционные системы, которые не могут доверять новому корневому сертификату Let’s Encrypt.
Помимо Android, пользователи старых версий Java (до 1.8.0) также будут сталкиваться с проблемами совместимости и получать предупреждения о сертификатах при доступе к защищенным Let’s Encrypt сайтам.
Как Вы можете решить эту проблему?
Если Вы владелец сайта, самое быстрое и практичное решение – перейти на другой центр сертификации. Совместимость коммерческих CA с браузерами составляет 99,3%, включая старые версии и серверные системы. Они используют свои собственные проверенные корни и перекрестные подписи, используя свои собственные более древние корни для наилучшей совместимости.
Бесплатной альтернативой Let’s Encrypt могут быть сертификаты CloudFlare и Amazon, но Вы можете использовать их только до тех пор, пока остаетесь их клиентом. По своим возможностям ближе всего к Let’s Encrypt находится Позитивный SSLдоступный сертификат проверки домена. В отличие от Let’s Encrypt, он также включает статическую печать сайта и гарантию SSL.
Если Вы не хотите заменять свой сертификат Let’s Encrypt, Вы можете предупредить своих посетителей о надвигающейся проблеме и попросить их обновить свои устройства Android. Однако большинство пользователей не являются технически подкованными и не станут тратить время на посещение сайта. Вы можете прекратить поддержку старых версий, но это снова разозлит Ваших пользователей и завалит службу поддержки жалобами.
Самый разумный вариант – перейти на другой ЦС, если Let’s Encrypt не предложит решение до Нового года.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10