تغییرات بزرگ در گواهیهای صادر شده توسط Let’s Encrypt

زمانی که Let’s Encrypt برای اولین بار راهاندازی شد، نیاز داشتیم که گواهینامههای ما به طور گسترده مورد اعتماد قرار گیرند. به همین منظور، ترتیبی دادیم تا گواهینامههای میانی ما توسط ریشه معتبر DST Root CA X3 متعلق به IdenTrust امضا متقابل شوند. این بدان معنا بود که همه گواهینامههای صادر شده توسط آن واسطهها مورد اعتماد قرار میگرفتند، حتی زمانی که ریشه خود ما (ISRG Root X1) هنوز به طور گسترده مورد اعتماد قرار نگرفته بود. در سالهای بعد، ریشه ما (Root X1) به طور مستقل به طور گسترده مورد اعتماد قرار گرفت.
در اواخر سال ۲۰۲۱، واسطههای دارای امضای متقابل ما و خود ریشه معتبر DST Root CA X3 منقضی شدند. در حالی که در آن زمان همه مرورگرهای بهروز به ریشه ما اعتماد داشتند، اما بیش از یک سوم از دستگاههای اندرویدی همچنان از نسخههای قدیمی سیستمعامل استفاده میکردند که ناگهان اعتماد به وبسایتهای استفادهکننده از گواهینامههای ما را متوقف میکرد. این اختلال بسیار گسترده میشد، بنابراین ما یک امضای متقابل جدید را ترتیب دادیم – این بار به طور مستقیم روی ریشه ما به جای واسطههایمان – که عمر بیشتری نسبت به خود DST Root CA X3 داشت. این راهحل موقت به آن دستگاههای اندرویدی قدیمی اجازه داد تا به مدت سه سال دیگر به گواهینامههای ما اعتماد کنند.
در تاریخ ۳۰ سپتامبر ۲۰۲۴، آن امضای متقابل نیز منقضی خواهد شد.
در سه سال گذشته، درصد دستگاههای اندرویدی که به ریشه ما (ISRG Root X1) اعتماد دارند از ۶۶ درصد به ۹۳.۹ درصد افزایش یافته است. این درصد در سال آینده بیشتر افزایش خواهد یافت، به ویژه با انتشار اندروید نسخه ۱۴ که توانایی بهروزرسانی مخزن اعتماد خود را بدون بهروزرسانی کامل سیستمعامل دارد. علاوه بر این، حذف امضای متقابل تعداد بایتهای گواهینامه ارسالشده در TLS Handshake را بیش از ۴۰ درصد کاهش میدهد. در نهایت، این امر هزینههای عملیاتی ما را به طور قابل توجهی کاهش میدهد و به ما امکان میدهد تا بودجه خود را بر بهبود مداوم حریم خصوصی و امنیت شما متمرکز کنیم.
به همین دلایل، ما برای تمدید هر چه بیشتر سازگاری، امضای متقابل جدیدی دریافت نخواهیم کرد.
روند حذف امضای متقابل Let’s Encrypt
این فرآیند به صورت زیر انجام خواهد شد:
پنجشنبه، ۸ فوریه ۲۰۲۴:
ارائه امضای متقابل به صورت پیشفرض در درخواستهای ارسالشده به نقطه انتهایی API صدور گواهینامه ما (/acme/certificate) متوقف میشود. برای اکثر مشترکین، این به این معنی است که سرویس گیرنده ACME شما یک زنجیره را پیکربندی میکند که در ISRG Root X1 خاتمه مییابد و وبسرور شما شروع به ارائه این زنجیره کوتاهتر در تمامی TLS Handshake ها میکند. زنجیره طولانیتر که به امضای متقابل در حال انقضاء ختم میشود، همچنان به عنوان یک زنجیره جایگزین در دسترس خواهد بود که میتوانید سرویس گیرنده خود را برای درخواست آن پیکربندی کنید.
پنجشنبه، ۶ ژوئن ۲۰۲۴:
ما ارائه زنجیره طولانیتر با امضای متقابل را بهطور کامل متوقف خواهیم کرد. این فقط کمی بیش از ۹۰ روز (طول عمر یک گواهینامه) قبل از انقضای امضای متقابل است و ما باید مطمئن شویم که مشترکین حداقل یک چرخه صدور کامل را برای مهاجرت از زنجیره با امضای متقابل داشتهاند.
دوشنبه، ۳۰ سپتامبر ۲۰۲۴:
گواهینامه با امضای متقابل منقضی خواهد شد. این رویداد برای اکثر افراد نباید مشکلی ایجاد کند، زیرا هرگونه خرابی در سرویسگیرندهها باید در شش ماه گذشته رخ داده باشد.
کاربران سیستمعامل اندروید:
اگر از اندروید ۷.۰ یا نسخههای قدیمیتر استفاده میکنید، ممکن است نیاز به اقداماتی داشته باشید تا همچنان بتوانید به وبسایتهای امنشده با گواهینامههای Let’s Encrypt دسترسی پیدا کنید. ما نصب و استفاده از Firefox Mobile را توصیه میکنیم، که از مخزن اعتماد خود به جای مخزن اعتماد سیستمعامل اندروید استفاده میکند و بنابراین به ISRG Root X1 اعتماد دارد.
مدیران وبسایتها:
اگر شما مدیر یک وبسایت هستید، باید در طول سه ماهه دوم و سوم سال ۲۰۲۴، آمار استفاده از وبسایت و رشتههای عامل کاربر فعال خود را زیر نظر داشته باشید. اگر کاهش ناگهانی در بازدید از طریق اندروید مشاهده کردید، به احتمال زیاد به این دلیل است که شما تعداد قابل توجهی از کاربران دارای اندروید ۷.۰ یا نسخههای قدیمیتر دارید. ما شما را تشویق میکنیم تا توصیه مشابهی را که در بالا ارائه شد، به آنها ارائه دهید.




