IdenTrust ตกลงทำ Cross-Sign ให้ Let’s Encrypt ทำให้โทรศัพท์แอนรอยด์รุ่นเก่าใช้งานได้ต่อ

หลังจาก Let’s Encrypt ประกาศเลิกทำ cross-sign จาก IdenTrust แล้วใช้ ISRG Root X1 ของตัวเองเป็น root CA ที่ระบบปฎิบัติการของไคลเอนต์ต้องเชื่อถือ แต่ระบบปฎิบัติการเก่าโดยเฉพาะแอนดรอยด์ที่เก่ากว่าเวอร์ชั่น 7.1.1 จะไม่เชื่อถือใบรับรอง ตอนนี้ทาง Let’s Encrypt ก็ออกแนวทางใหม่ออกมา ทำให้ใบรับรองหลังจากนี้สามารถใช้กับอุปกรณ์รุ่นเก่าได้ต่อไป

แนวทางใหม่คือการนำ DST Root CA X3 ที่เคยใช้ทำ cross-sign กับ intermediate CA ของ Let’s Encrypt (Let’s Encrypt R3) ไปรับรอง ISRG Root X1 โดยมีอายุการรับรองยาว 3 ปี ทำให้เซิร์ฟเวอร์ที่ต้องรองรับอุปกรณ์เก่า สามารถวาง ISRG Root X1 ที่ได้รับการรับรองให้เป็นเหมือน intermediate CA อีกใบ ข้อเสียสำคัญคือขนาดใบรับรองแบบ full chain จะใหญ่ขึ้น

สำหรับเซิร์ฟเวอร์ที่ไม่ต้องการรองรับไคลเอนต์เก่าสามารถขอ alternate chain ที่มี Let’s Encrypt R3 เป็น intermediate CA ตัวเดียว หรือแม้กระทั่งย้ายไปใช้สายรับรองแบบ ECDSA ที่มีขนาดเล็กลงไปอีก

ที่มา – Let’s Encrypt

No Description

Topics: 
Let’s Encrypt
Digital Certificate
Security