Thousands of people around the world make our work possible. Donate today.

תפוגת התוקף של DST Root CA X3 (ספטמבר 2021)

עדכון אחרון: | הצגת כל התיעוד

עודכן ב־5 בפברואר, 2024 עברו שנתיים, ותוקף החתימה הצולבת של Android שמוזכרת להלן עומדת לפוג. ברשומה העדכנית בבלוג שלנו מופיע הסבר על השינויים שיתרחשו במהלך 2024.

עדכון מה־30 בספטמבר 2021 כפי שתוכנן, תוקף החתימה הצולבת של DST Root CA X3 פג, ואנו משתמשים כעת ב־ISRG Root X1 לאמון מול כמעט כל המכשירים שלנו. למידע נוסף על התוכנית, מוטב להמשיך לקרוא כאן! עדכנו גם את שרשור שינויים בשרשרת המבצעית בפורום הקהילתי שלנו - הצוות והקהילה שלנו כאן כדי לספק מענה לכל שאלה שיש לך בנוגע לתפוגת תוקף.

ב־30 בספטמבר 2021, יהיה שינוי קטן באופן בו דפדפנים ומכשירים ישנים נותנים אמון באישורים של Let’s Encrypt. אם יש לך אתר רגיל, לא אמור להיות כל שינוי - רוב המבקרים שלך עדיין יקבלו את האישור שלך מ־Let’s Encrypt. אם יש לך שירות שמספק API או שעליך לתמוך במכשירי IoT יכול להיות שיהיה עליך להיות קשוב יותר לשינוי הזה.

ל־Let’s Encrypt יש „אישור על” שנקרא ISRG Root X1. דפדפנים ומכשירים עדכניים נותנים אמון באישור של Let’s Encrypt שמותקן באתר שלך כיוון שהם כוללים את ISRG Root X1 ברשימת אישורי העל שלהם. כדי לוודא שהאישורים שאנו מנפיקים מהימנים מול מכשירים ישנים יותר, יש לנו גם „חתימה צולבת” מאישור על ישן יותר: DST Root CA X3.

כשהתחלנו, אישור העל המיושן הזה (DST Root CA X3) סייע לנו לחמם מנועים ושכמעט כל מכשיר שיש כבר יתן בנו אמון. אישור העל החדש יותר (ISRG Root X1) גם כן נחשב מהימן באופן נרחב - אך יש כמה מכשירים ישנים שלא יתנו בו אמון אף פעם כיוון שאינם מקבלים עוד עדכוני תכנה (כמו למשל, iPhone 4 או HTC Dream). לחיצה כאן תציג בפניך רשימה של פלטפורמות שנותנות אמון ב־ISRG Root X1.

התוקף של DST Root CA X3 יפוג ב־30 בספטמבר, 2021. משמעות הדבר היא שמכשירים ישנים שלא נותנים אמון ב־ISRG Root X1 יתחילו לקבל אזהרות בעת ביקור באתרים שמשתמשים באישורים של Let’s Encrypt. יש יוצא אחד מהכלל חשוב: מכשירים ישנים של Android שאינם נותנים אמון ב־ISRG Root X1 ימשיכו לעבוד עם Let’s Encrypt, תודות לחתימה צולבת מיוחדת מידי DST Root CA X3 שמרחיבה מעבר למועד התפוגה של אישור העל הזה. היוצא מהכלל הזה עובד ב־Android בלבד.

מה עלי לעשות? רוב האנשים לא צריכים לעשות כלום! הקמנו את הנפקת האישורים שלנו כדי שהאתר שלך יעשה את הדבר הנכון ברוב המקרים, תוך העדפת תאימות כמה שיותר רחבה. אם יש לך שירות שמספק API או שעליך לתמוך במכשירי IoT, עליך לוודא שני דברים: (1) כל לקוחות ה־API שלך חייבים לתת אמון ב־ISRG Root X1 (לא רק ב־DST Root CA X3), וגם (2) אם לקוחות ה־API שלך משתמשים ב־OpenSSL, הם חייבים להשתמש בגרסה 1.1.0 ומעלה. ב־OpenSSL 1.0.x, חריגה קטנה באימות האישור יכול להוביל לכך שאפילו לקוחות שנותנים אמון ב־ISRG Root X1 יכשלו כשתוצג בפניהם שרשרת האישורים תואמת ה־ Android עליה אנו ממליצים כבררת מחדל.

לקבלת מידע נוסף על השינויים המתרחשים אצלנו בשרשרת השירות, אפשר לקרוא את השרשור הבא בפורום הקהילתי שלנו (באנגלית).

אם יש לך שאלות בנוגע לתפוגת התוקף הקרבה, נא לפרסם אותן לשרשור הזה בפורום שלנו.