"Pemendekan rantai kepercayaan Let's Encrypt"

 (letsencrypt.org)
2 poin oleh GN⁺ 2023-07-11 | 1 komentar | Bagikan ke WhatsApp
  • Let's Encrypt: otoritas sertifikat yang menyediakan sertifikat yang dipercaya secara luas untuk situs web
  • Sertifikat yang awalnya ditandatangani silang oleh DST Root CA X3 milik IdenTrust digunakan untuk menjamin kepercayaan.
  • Sertifikat root milik Let's Encrypt sendiri, ISRG Root X1, telah menjadi dipercaya secara luas selama waktu yang lama.
  • Sertifikat perantara yang ditandatangani silang dan DST Root CA X3 akan kedaluwarsa pada akhir 2021.
  • Untuk mempertahankan kompatibilitas dengan perangkat Android lama, tanda tangan silang akan diterapkan langsung ke root milik Let's Encrypt.
  • Tanda tangan silang baru akan kedaluwarsa pada 30 September 2024.
  • Persentase perangkat Android yang memercayai ISRG Root X1 telah meningkat dari 66% menjadi 93,9% selama tiga tahun terakhir.
  • Android versi 14 akan semakin meningkatkan kepercayaan terhadap ISRG Root X1.
  • Menghapus tanda tangan silang akan mengurangi byte sertifikat yang dikirim dalam TLS handshake lebih dari 40% dan menurunkan biaya operasional.
  • Fitur yang sebelumnya menggunakan tanda tangan silang akan dihentikan dari konfigurasi default pada Februari 2024, dan akan dihapus sepenuhnya pada Juni 2024.
  • Operator situs harus memantau statistik penggunaan situs web dan string user-agent untuk mengidentifikasi potensi masalah yang terkait dengan pengguna Android.
  • Pengguna versi sebelum Android 7.0 mungkin perlu menggunakan Firefox Mobile untuk mengakses situs web yang dilindungi oleh Let's Encrypt.
  • Pengembang klien ACME harus memastikan pengunduhan dan pemasangan rantai sertifikat yang benar.
  • Let's Encrypt berterima kasih atas dukungan dan kemitraan dari IdenTrust.
  • Let's Encrypt menyambut kontribusi dan sponsor untuk mendukung pekerjaannya.

Bacaan terkait

1 komentar

 
GN⁺ 2023-07-11
Komentar Hacker News
  • Transisi untuk mempersingkat rantai kepercayaan Let's Encrypt ditunda berdasarkan masukan komunitas.
  • Cakupan dukungan perangkat Android dan iOS untuk sertifikat Let's Encrypt berbeda.
  • Apple lebih berhasil meyakinkan pengguna untuk memperbarui sistem operasi mereka.
  • Solusi untuk mempertahankan cross-signature lama menarik dan bergantung pada trust anchor.
  • Kedaluwarsanya sertifikat yang di-cross-sign dapat menimbulkan masalah bagi sebagian pengguna.
  • Biaya operasional Let's Encrypt akan menurun karena transisi ini.
  • Karena sertifikat kedaluwarsa, sebagian pengguna harus beralih dari Let's Encrypt ke ZeroSSL.
  • Penyediaan sertifikat gratis dapat membawa perubahan pada aturan dan ketergantungan pengguna.
  • TLS dianggap sebagai komponen web yang paling rapuh karena perubahan dan kedaluwarsa yang terus-menerus.
  • Latar belakang bagaimana Let's Encrypt menemukan perusahaan sertifikat untuk cross-sign tidak diketahui.
  • Kedaluwarsanya sertifikat perantara cross-sign Let's Encrypt dan DST Root CA X3 memengaruhi sebagian pengguna, termasuk pengguna ubiquiti.