Let’s Encrypt сокращает поддержку Android 7
С 8 февраля 2024 года Let’s Encrypt сокращает цепочку доверия сертификатов. Это приведёт к тому, что сайты с SSL Let’s Encrypt со временем перестанут открываться на устройствах с Android 7. Что случилось, почему это важно и что делать, мы расскажем ниже.
Содержание
- Почему сайты перестанут открываться
- Как будет происходить отключение
- Кого коснётся изменение
- Что делать, если вы используете Let’s Encrypt
Почему сайты перестанут открываться
Раньше, когда компания Let’s Encrypt была малоизвестна, она пользовалась подписью центра сертификации IdenTrust. IdenTrust поддерживались многими устройствами, и благодаря этому, сайты с SSL Let’s Encrypt открывались c большого числа устройств.
Со временем Let's Encrypt по умолчанию стала поддерживаться на многих современных устройствах через свой корневой сертификат.
Но работа на старых устройствах по-прежнему обеспечивалась IdenTrust. Однако с 2021 года у IdenTrust истёк срок действия подписи корневого сертификата. Чтобы решить проблему, Let’s Encrypt прибегнула к временному решению — добавила перекрестную подпись. Это технология позволяла по-прежнему пользоваться Let’s Encrypt на старых устройствах.
Как будет происходить отключение
В течение 2024 поддержка цепочки с перекрестной подписью будет постепенно отключаться:
- С 8 февраля 2024 цепочка сертификатов с перекрестной подписью перестанет работать при автоматическом выпуске SSL. Однако её можно будет настроить вручную через файл конфигурации.
- C 6 июня Let’s Encrypt отключит возможность настраивать эту цепочку сертификатов. У владельцев SSL-сертификатов останется не более 90 дней, когда она еще может работать (90 дней — срок действия сертификата).
- 30 сентября 2024 года окончательно прекратится поддержка перекрестной цепочки.
Кого коснётся изменение
По данным аналитики, новая цепочка сертификатов не будет работать на старых устройствах. Это коснётся Android 7.0 и ранних версий. Изменения не коснутся устройств с версиями выше Android 7.0 — они смогут открывать сайты, системы и сервисы с Let’s Encrypt как прежде.
Что делать, если вы используете Let’s Encrypt
Если вы пользуетесь устройствами со старым ПО, рекомендуется установить браузер Firefox Mobile. Он использует собственное хранилище доверенных сертификатов, следовательно, будет доверять сайтам с обновлённым Let’s Encrypt.
Если вы администратор ресурса и видите по статистике, что у вас много пользователей со старыми версиями ПО, напомните им о возможности установить новый браузер или обновить ПО. Также не забудьте проверить вашу архитектуру на наличие легаси-элементов, которые могут быть несовместимы с новой цепочкой Let’s Encrypt.
Альтернативным и оптимальным решением будет покупка коммерческого сертификата у проверенного центра сертификации. Например, сертификатам GlobalSign продолжат доверять и старые, и новые устройства. Кроме того, срок их действия — 13 месяцев, вместо трёх у Let’s Encrypt. Если разделить стоимость на 13 месяцев спокойствия и уверенности в работе, цена точно окажется меньше ваших затрат и рисков недоступности ресурсов у вас и ваших клиентов.