امنیتسایرفناوری اطلاعاتوب

تغییرات بزرگ در گواهی‌های صادر شده توسط Let’s Encrypt

زمانی که Let’s Encrypt برای اولین بار راه‌اندازی شد، نیاز داشتیم که گواهینامه‌های ما به طور گسترده مورد اعتماد قرار گیرند. به همین منظور، ترتیبی دادیم تا گواهینامه‌های میانی ما توسط ریشه معتبر DST Root CA X3 متعلق به IdenTrust امضا متقابل شوند. این بدان معنا بود که همه گواهینامه‌های صادر شده توسط آن واسطه‌ها مورد اعتماد قرار می‌گرفتند، حتی زمانی که ریشه خود ما (ISRG Root X1) هنوز به طور گسترده مورد اعتماد قرار نگرفته بود. در سال‌های بعد، ریشه ما (Root X1) به طور مستقل به طور گسترده مورد اعتماد قرار گرفت.

در اواخر سال ۲۰۲۱، واسطه‌های دارای امضای متقابل ما و خود ریشه معتبر DST Root CA X3 منقضی شدند. در حالی که در آن زمان همه مرورگرهای به‌روز به ریشه ما اعتماد داشتند، اما بیش از یک سوم از دستگاه‌های اندرویدی همچنان از نسخه‌های قدیمی سیستم‌عامل استفاده می‌کردند که ناگهان اعتماد به وب‌سایت‌های استفاده‌کننده از گواهینامه‌های ما را متوقف می‌کرد. این اختلال بسیار گسترده می‌شد، بنابراین ما یک امضای متقابل جدید را ترتیب دادیم – این بار به طور مستقیم روی ریشه ما به جای واسطه‌هایمان – که عمر بیشتری نسبت به خود DST Root CA X3 داشت. این راه‌حل موقت به آن دستگاه‌های اندرویدی قدیمی اجازه داد تا به مدت سه سال دیگر به گواهینامه‌های ما اعتماد کنند.

در تاریخ ۳۰ سپتامبر ۲۰۲۴، آن امضای متقابل نیز منقضی خواهد شد.

در سه سال گذشته، درصد دستگاه‌های اندرویدی که به ریشه ما (ISRG Root X1) اعتماد دارند از ۶۶ درصد به ۹۳.۹ درصد افزایش یافته است. این درصد در سال آینده بیشتر افزایش خواهد یافت، به ویژه با انتشار اندروید نسخه ۱۴ که توانایی به‌روزرسانی مخزن اعتماد خود را بدون به‌روزرسانی کامل سیستم‌عامل دارد. علاوه بر این، حذف امضای متقابل تعداد بایت‌های گواهینامه ارسال‌شده در  TLS Handshake را بیش از ۴۰ درصد کاهش می‌دهد. در نهایت، این امر هزینه‌های عملیاتی ما را به طور قابل توجهی کاهش می‌دهد و به ما امکان می‌دهد تا بودجه خود را بر بهبود مداوم حریم خصوصی و امنیت شما متمرکز کنیم.

به همین دلایل، ما برای تمدید هر چه بیشتر سازگاری، امضای متقابل جدیدی دریافت نخواهیم کرد.

روند حذف امضای متقابل Let’s Encrypt

این فرآیند به صورت زیر انجام خواهد شد:

پنج‌شنبه، ۸ فوریه ۲۰۲۴:

ارائه امضای متقابل به صورت پیش‌فرض در درخواست‌های ارسال‌شده به نقطه انتهایی API صدور گواهینامه ما (/acme/certificate) متوقف می‌شود. برای اکثر مشترکین، این به این معنی است که سرویس گیرنده ACME شما یک زنجیره را پیکربندی می‌کند که در ISRG Root X1 خاتمه می‌یابد و وب‌سرور شما شروع به ارائه این زنجیره کوتاه‌تر در تمامی TLS Handshake ها می‌کند. زنجیره طولانی‌تر که به امضای متقابل در حال انقضاء ختم می‌شود، همچنان به عنوان یک زنجیره جایگزین در دسترس خواهد بود که می‌توانید سرویس گیرنده خود را برای درخواست آن پیکربندی کنید.

پنج‌شنبه، ۶ ژوئن ۲۰۲۴:

ما ارائه زنجیره طولانی‌تر با امضای متقابل را به‌طور کامل متوقف خواهیم کرد. این فقط کمی بیش از ۹۰ روز (طول عمر یک گواهینامه) قبل از انقضای امضای متقابل است و ما باید مطمئن شویم که مشترکین حداقل یک چرخه صدور کامل را برای مهاجرت از زنجیره با امضای متقابل داشته‌اند.

دوشنبه، ۳۰ سپتامبر ۲۰۲۴:

گواهینامه با امضای متقابل منقضی خواهد شد. این رویداد برای اکثر افراد نباید مشکلی ایجاد کند، زیرا هرگونه خرابی در سرویس‌گیرنده‌ها باید در شش ماه گذشته رخ داده باشد.

کاربران سیستم‌عامل اندروید:

اگر از اندروید ۷.۰ یا نسخه‌های قدیمی‌تر استفاده می‌کنید، ممکن است نیاز به اقداماتی داشته باشید تا همچنان بتوانید به وب‌سایت‌های امن‌شده با گواهینامه‌های Let’s Encrypt دسترسی پیدا کنید. ما نصب و استفاده از Firefox Mobile را توصیه می‌کنیم، که از مخزن اعتماد خود به جای مخزن اعتماد سیستم‌عامل اندروید استفاده می‌کند و بنابراین به ISRG Root X1 اعتماد دارد.

مدیران وب‌سایت‌ها:

اگر شما مدیر یک وب‌سایت هستید، باید در طول سه ماهه دوم و سوم سال ۲۰۲۴، آمار استفاده از وب‌سایت و رشته‌های عامل کاربر فعال خود را زیر نظر داشته باشید. اگر کاهش ناگهانی در بازدید از طریق اندروید مشاهده کردید، به احتمال زیاد به این دلیل است که شما تعداد قابل توجهی از کاربران دارای اندروید ۷.۰ یا نسخه‌های قدیمی‌تر دارید. ما شما را تشویق می‌کنیم تا توصیه مشابهی را که در بالا ارائه شد، به آن‌ها ارائه دهید.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا