"Rút ngắn chuỗi tin cậy của Let's Encrypt"

 (letsencrypt.org)
2 điểm bởi GN⁺ 2023-07-11 | 1 bình luận | Chia sẻ qua WhatsApp
  • Let's Encrypt: tổ chức chứng thực cung cấp chứng chỉ được tin cậy rộng rãi cho các website
  • Các chứng chỉ ban đầu được ký chéo bởi DST Root CA X3 của IdenTrust đã được sử dụng để bảo đảm độ tin cậy.
  • Chứng chỉ gốc riêng của Let's Encrypt là ISRG Root X1 đã trở nên được tin cậy rộng rãi trong một thời gian dài.
  • Chứng chỉ trung gian được ký chéo và DST Root CA X3 sẽ hết hạn vào cuối năm 2021.
  • Để duy trì khả năng tương thích với các thiết bị Android cũ, chữ ký chéo sẽ được áp dụng trực tiếp lên chứng chỉ gốc của Let's Encrypt.
  • Chữ ký chéo mới sẽ hết hạn vào ngày 30 tháng 9 năm 2024.
  • Tỷ lệ thiết bị Android tin cậy ISRG Root X1 đã tăng từ 66% lên 93,9% trong 3 năm qua.
  • Android phiên bản 14 sẽ tiếp tục tăng mức độ tin cậy đối với ISRG Root X1.
  • Việc loại bỏ chữ ký chéo sẽ giảm hơn 40% số byte chứng chỉ được truyền trong quá trình bắt tay TLS và giúp giảm chi phí vận hành.
  • Tính năng trước đây dùng chữ ký chéo sẽ bị vô hiệu hóa theo mặc định vào tháng 2 năm 2024 và sẽ bị loại bỏ hoàn toàn vào tháng 6 năm 2024.
  • Quản trị viên website nên theo dõi thống kê sử dụng website và chuỗi user-agent để nhận diện các vấn đề tiềm ẩn liên quan đến người dùng Android.
  • Người dùng phiên bản trước Android 7.0 có thể cần dùng Firefox Mobile để truy cập các website được bảo vệ bởi Let's Encrypt.
  • Nhà phát triển ACME client cần bảo đảm việc tải xuống và cài đặt đúng chuỗi chứng chỉ.
  • Let's Encrypt cảm ơn sự hỗ trợ và quan hệ đối tác từ IdenTrust.
  • Let's Encrypt hoan nghênh các khoản đóng góp và tài trợ để hỗ trợ công việc của mình.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-07-11
Ý kiến trên Hacker News
  • Việc chuyển đổi nhằm rút ngắn chuỗi tin cậy của Let's Encrypt đã bị trì hoãn dựa trên phản hồi từ cộng đồng.
  • Phạm vi hỗ trợ thiết bị Android và iOS đối với chứng chỉ Let's Encrypt là khác nhau.
  • Apple làm tốt hơn trong việc thuyết phục người dùng cập nhật hệ điều hành.
  • Giải pháp duy trì chữ ký chéo cũ là một ý tưởng thú vị và phụ thuộc vào trust anchor.
  • Việc hết hạn của chứng chỉ được ký chéo có thể gây ra vấn đề cho một số người dùng.
  • Chi phí vận hành của Let's Encrypt sẽ giảm nhờ quá trình chuyển đổi này.
  • Do chứng chỉ hết hạn, một số người dùng đã phải chuyển từ Let's Encrypt sang ZeroSSL.
  • Việc cung cấp chứng chỉ miễn phí có thể mang lại thay đổi về quy tắc và mức độ phụ thuộc của người dùng.
  • TLS được xem là thành phần mong manh nhất của web do các thay đổi và lần hết hạn liên tục.
  • Bối cảnh Let's Encrypt tìm được một công ty chứng chỉ để ký chéo vẫn chưa được biết rõ.
  • Chứng chỉ trung gian ký chéo của Let's Encrypt và việc DST Root CA X3 hết hạn đã ảnh hưởng đến một số người dùng, bao gồm cả người dùng ubiquiti.