"Encurtamento da cadeia de confiança do Let's Encrypt"

 (letsencrypt.org)
2 pontos por GN⁺ 2023-07-11 | 1 comentários | Compartilhar no WhatsApp
  • Let's Encrypt: autoridade certificadora que fornece certificados amplamente confiáveis para sites
  • Os certificados inicialmente assinados de forma cruzada pela DST Root CA X3 da IdenTrust foram usados para garantir a confiança.
  • O certificado raiz próprio do Let's Encrypt, ISRG Root X1, passou a ser amplamente confiado ao longo de um longo período.
  • O certificado intermediário assinado de forma cruzada e a DST Root CA X3 expiram no fim de 2021.
  • Para manter a compatibilidade com dispositivos Android antigos, uma assinatura cruzada será aplicada diretamente à raiz do Let's Encrypt.
  • A nova assinatura cruzada expira em 30 de setembro de 2024.
  • A proporção de dispositivos Android que confiam no ISRG Root X1 aumentou de 66% para 93,9% nos últimos 3 anos.
  • O Android versão 14 aumentará ainda mais a confiança no ISRG Root X1.
  • Remover a assinatura cruzada reduz em mais de 40% os bytes de certificados transmitidos no handshake TLS e diminui os custos operacionais.
  • O recurso que antes usava assinatura cruzada será descontinuado da configuração padrão em fevereiro de 2024 e removido completamente em junho de 2024.
  • Operadores de sites devem monitorar as estatísticas de uso do site e as strings de user-agent para identificar problemas potenciais relacionados a usuários de Android.
  • Usuários de versões anteriores ao Android 7.0 podem precisar usar o Firefox Mobile para acessar sites protegidos pelo Let's Encrypt.
  • Desenvolvedores de clientes ACME devem garantir o download e a instalação corretos da cadeia de certificados.
  • O Let's Encrypt agradece o apoio e a parceria da IdenTrust.
  • Contribuições e patrocínios são bem-vindos para apoiar o trabalho do Let's Encrypt.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-07-11
Comentários no Hacker News
  • A transição para encurtar a cadeia de confiança da Let's Encrypt foi adiada com base no feedback da comunidade.
  • O alcance de suporte a dispositivos Android e iOS para certificados da Let's Encrypt é diferente.
  • A Apple é melhor em convencer os usuários a atualizar o sistema operacional.
  • A solução de manter a assinatura cruzada antiga é interessante e depende de âncoras de confiança.
  • A expiração de certificados com assinatura cruzada pode causar problemas para alguns usuários.
  • Os custos operacionais da Let's Encrypt serão reduzidos com a transição.
  • Devido à expiração de certificados, alguns usuários tiveram que migrar da Let's Encrypt para a ZeroSSL.
  • O fornecimento de certificados gratuitos pode trazer mudanças nas regras e na dependência dos usuários.
  • O TLS é considerado o componente mais frágil da web devido às mudanças e expirações contínuas.
  • Não se sabe o contexto em que a Let's Encrypt encontrou uma empresa de certificados para a assinatura cruzada.
  • O certificado intermediário com assinatura cruzada da Let's Encrypt e a expiração do DST Root CA X3 afetaram alguns usuários, incluindo usuários da ubiquiti.