만료되는 루트 인증서로 인해 내년에 7.1.1 미만 버전을 실행하는 Android 장치에서 많은 웹사이트가 중단될 수 있습니다.
업데이트 1(12/22/2020 @ 01:오전 01시 동부 표준시): Let's Encrypt는 구형 Android 휴대폰이 내년에도 인증서를 사용하는 사이트를 계속 방문할 수 있는 방법을 찾았습니다. 2020년 11월 9일에 게시된 원본 기사는 아래에 보존되어 있습니다.
하지만 프로젝트 트레블 지난 몇 년 동안 최신 버전의 Android 배포를 개선하는 데 중요한 역할을 했습니다. 가장 큰 단점 중 하나로 남아있습니다 Android 생태계의 일부입니다. 현재 사용 중인 수많은 Android 기기는 오래된 버전의 운영 체제를 실행하고 있으며 이로 인해 다양한 문제가 발생할 수 있습니다. 예를 들어, 루트 인증서 만료로 인해 내년에 구형 Android 기기에서 많은 웹사이트가 작동하지 않을 가능성이 있습니다.
TLS 암호화를 위한 무료 인증서를 제공하는 비영리 인증 기관인 Let's Encrypt가 몇 년 전에 처음 출시되었을 때 조직은 다음과 같은 서명을 교차 서명했습니다. IdenTrust의 DST 루트 X3 인증서는 수년 동안 사용되어 왔으며 Windows, iOS, Android, macOS 및 많은 Linux 배포판을 포함한 대부분의 주요 소프트웨어 플랫폼에서 신뢰되는 루트 인증서입니다. 현재까지 수백만 개의 웹 도메인이 Let's Encrypt 인증서로 보호되고 있지만 최근 블로그 게시물 Let's Encrypt에서 DST 루트 X3 루트 인증서는 2021년 9월 1일에 만료됩니다.
기존 장치에서 전자의 인증서를 빠르게 신뢰하려면 Let's Encrypt와 IdenTrust의 파트너십이 필요했지만 동시에 조직은 자체 루트 인증서(ISRG Root X1)를 발급하고 대부분의 주요 운영 체제에서 이를 신뢰하도록 노력했습니다. 시스템. 그러나 2016년 이후 업데이트되지 않은 일부 소프트웨어는 버전을 실행하는 Android 장치를 포함하는 새로운 루트 인증서를 신뢰하지 않습니다. 7.1.1 미만. 따라서 내년에 DST Root X3 루트 인증서가 만료되면 많은 구형 Android 장치는 더 이상 인증서를 신뢰하지 않게 됩니다. Let's Encrypt에서 발급하므로 TLS 암호화가 Let's Encrypt로 서명된 웹 사이트를 방문할 때 인증서 오류가 발생합니다. 자격증.
에 따르면 최신 Android 배포 통계 Android Studio(아래 표시)에서 파생되었으며, 2020년 4월 현재 유통되는 Android 기기의 33.8%가 7.1 Nougat 이전의 Android 버전을 실행하고 있습니다. 이는 Let's Encrypt 인증서가 있는 웹 사이트에 대한 트래픽의 약 1-5%를 나타냅니다. 이전 Android OS 버전을 실행하는 기기의 비율은 의심할 여지 없이 다음과 같이 감소할 것입니다. 내년에 DST Root X3가 만료되면 현재 기준으로 백분율 감소가 크지 않을 수 있습니다. 트렌드.
최종 사용자에 대한 이러한 변경의 영향을 최소화하기 위해 Let's Encrypt는 두 가지 솔루션을 제공했습니다. 웹 사이트 소유자를 대상으로 하는 첫 번째 솔루션은 내년 1월에 Let's Encrypt API에 대한 변경 사항을 도입할 예정입니다. "ACME 클라이언트는 기본적으로 ISRG Root X1로 연결되는 인증서 체인을 제공합니다.그러나 DST 루트 X3으로 연결되고 더 넓은 호환성을 제공하는 동일한 인증서에 대해 대체 인증서 체인을 제공하는 것도 가능합니다."
이전 버전의 Android를 실행하는 기기를 사용하는 최종 사용자의 경우 Let's Encrypt에서는 이 문제를 피하기 위해 Firefox를 설치할 것을 제안합니다. 신뢰할 수 있는 루트 인증서 목록을 운영 체제에 의존하는 기본 브라우저 앱과 달리 Firefox는 자체적으로 신뢰할 수 있는 루트 인증서 목록을 제공합니다. 최신 버전의 안드로이드용 파이어폭스 신뢰할 수 있는 인증 기관의 최신 목록이 포함되어 있으며, 이를 통해 오래된 Android 버전을 사용하는 사용자는 Let's Encrypt 인증서가 있는 웹 사이트를 열 수 있습니다.
가격: 무료.
4.6.
업데이트 1: Let's Encrypt 인증서에 대한 이전 Android 장치 호환성 확장
오늘 발표한 대로 블로그 게시물에서, 7.1.1 이전 Android 버전을 실행하는 이전 Android 기기는 다음을 사용하는 사이트를 방문할 수 있습니다. IdenTrust와의 원래 교차 서명 파트너십이 다음에 만료된 후 인증서를 암호화합시다. 년도. Android는 "트러스트 앵커로 사용되는 인증서의 만료 날짜를 시행"하지 않는 것으로 나타났습니다. 이 때문에 IdenTrust는 DST 루트 CA X3의 Let's Encrypt ISRG 루트 X1 인증서에 대한 3년 교차 서명 계약(후자는 다음에 만료됨) 년도. 따라서 구형 Android 휴대폰을 사용하는 사용자에게는 영향이 없으며 해당 기기에서 많은 웹사이트가 손상될 가능성을 피할 수 있습니다.