Let’s Encrypt เตรียมเลิกทำ cross-sign จาก IdenTrust, Android เก่ากว่า 7.1.1 จะใช้งานเว็บไม่ได้

Let’s Encrypt ผู้ให้บริการออกใบรับรองเว็บฟรีประกาศว่าตั้งแต่ 1 กันยายน 2021 เป็นต้นไปใบรับรองของ Let’s Encrypt จะไม่ได้รับการ cross-sign โดย IdenTrust อีกแล้ว ทำให้เบราว์เซอร์เก่าที่ไม่ได้ใส่ใบรับรอง ISRG Root X1 เอาไว้ในระบบจะมองว่าใบรับรองจาก Let’s Encrypt ไม่น่าเชื่อถืออีกต่อไป

การเปลี่ยนเส้นทางใบรับรองเช่นนี้มีผลกระทบต่อระบบปฎิบัติการเก่าๆ มาเสมอ แต่รอบนี้จุดน่ากังวลที่สุดคือแอนดรอยด์ที่ยังมีการใช้งานเวอร์ชั่นเก่าอยู่ในระดับสูงมาก โดยแอนดรอยด์ใส่ใบรับรอง ISRG Root X1 ตั้งแต่เวอร์ชั่น 7.1.1 เป็นต้นมา แต่สถิติล่าสุดของกูเกิลก็แสดงว่ามีผู้ใช้ที่รันแอนดรอยด์เวอร์ชั่นเก่ากว่านั้นถึง 33.8% ซึ่งคาดว่าจะกระทบกับเว็บทั่วไปคิดเป็นทราฟิก 1-5%

ทาง Let’s Encypt เตรียมเปิดช่องทางเพิ่มเติมให้ผู้ดูแลเว็บไซต์เลือกใช้เส้นทางตรวจสอบใบรับรองไปยัง DST Root X3 ได้ทำให้ระบบปฎิบัติการเก่าๆ ยังคงใช้งานได้ต่อไป โดยเปิดให้ใช้งาน 11 มกราคม 2021 หรืออีกทางเลือกคือขอให้ผู้ใช้เว็บที่ยังรันแอนดรอยด์เก่ากว่ากำหนดหันไปใช้ Firefox Mobile ที่มีฐานข้อมูล root CA ของตัวเอง และรองรับ ISRG Root X1 ไว้แล้ว

การยกเลิกใบรับรองแบบ cross-sign มีข้อดีเพิ่มเติมคือขนาดใบรับรองที่ต้องส่งออกจากเว็บเซิร์ฟเวอร์มีขนาดเล็กลง นอกจากนี้ใบรับรองที่ใช้กระบวนการเข้ารหัสแบบใหม่ๆ เช่น ECDSA ก็จะไม่มีการทำ cross-sign อีกแล้ว

ที่มา – Let’s Encrypt

แผนผังการรับรองใบรับรองของ Let’s Encrypt ในปัจจุบัน

Topics: 
Let’s Encrypt
Security
Digital Certificate