Корневой сертификат, у которого истекает срок давности – это риск того, что каждое третье устройство Android прекратит получать доступ к миллиону различных веб-страниц, защищенных Let's Encrypt. Чем это грозит, о наиболее вероятных последствиях, а также решениях подобной проблемы далее в материале.
Мчится к нам не только Новый Год, но и одна новость способная опечалить пользователей сертификатов Let's Encrypt сразу же в первые дни 2021 года. Уже начиная со следующего года – то есть прямо с января 2021 совместимость с перекрестно подписанным сертификатов центра IdenTrust планируется прекратить. Это в свою очередь, непременно, затронет как самих владельцев веб-ресурсов, так и их потенциальных посетителей.
С чем связана такая проблема? В, первую очередь, с тем, что Let's Encrypt больше не применяет перекрестную подпись со сторонними корневыми сертификатами. Это приведет к тому, что некоторые посетители интернет-сайтов будут заблокированы. Соответственно, у них не будет возможности открыть определенную веб-страницу если у нее защита Let's Encrypt. Подобные пользователи, которым «не посчастливилось» - увидят сообщение следующего характера:
Несомненно, такой контент - совсем не то, на что рассчитывает пользователь и посетитель сайта. И, однозначно, это не то, что владельцы сайтов хотят показать своим посетителям.
Попытаемся разобраться, что же именно стало причиной таких изменений, кого они коснутся, прежде всего, и что с этим можно сделать владельцам веб-сайтов для максимального снижения потерь?
Почему вообще появилась такая проблема?
Начнем с того, что предпосылки к формированию и развитию этой проблемы восходит корнями еще к 2015 году, когда и была основана компания Let's Encrypt группой Internet Security Research Group (ISRG), а также их партнерами. Безусловно, только что сформировавшийся центр имел свой корневой сертификат – DST Root X3. И все же, на ранних этапах своего развития было добавлено перекрестное подписание сертификатом от IdenTrust, поскольку на тот момент этот сертификат поддерживался всеми лидирующими ОП для мобильных устройств.
Стоит отметить, что речь идет о стандартном сценарии действия для новых сертификационных центров. Подобное решение в свое время обеспечило новому центру сертификации сразу же приступить к своей прямой функции – выдаче сертификатов. Но в 2011 году сотрудничество было прекращено и продолжать его, как стало известно, больше не планируется. Теперь вернемся в современное время - IdenTrust DST Root X3 приближается к дате истечения своего срока действия, что случится 30 сентября 2021 года.
Let's Encrypt приложил все усилия, чтобы эффективнее всего подготовиться к этому событию, запустив корневой сертификат собственной разработки – ISRG Root X1. К сожалению, ему пока еще не удалось завоевать доверие, которым обладал IdenTrust.
Тем не менее, Let's Encrypt все же рискует запустить выпуск корневых сертификатов, привязанных к их сертификату ISRG Root X1 уже в начале следующего года - 11 января 2021 года. Ввиду того, что корень, разработанный ими, еще не пользуется доверием широкой аудитории, пользователи на некоторых старых платформах (в подавляющем большинстве с версией Android до 7.1.1) не будут иметь возможности получить доступ к любимым интернет-страницам, использующим сертификат Let's Encrypt SSL / TLS.
Кто пострадает больше всего?
Несомненно, не все так печально, есть и хорошая сторона у этой новости - проблема коснется, прежде всего, устаревших платформ (преимущественно Android до версии 7.1.1.) А теперь опять возвращаемся к плохим новостям -подобным «старыми» платформами все еще пользуется по всему миру большое количество людей.
Самой масштабной группой «пострадавших» будут те, кто использует Android 7.1.1 или еще более раннюю версию. Здесь становится любопытной статистика: а сколько же пользователей продолжают использовать такие старые версии ОП? Поверьте, ответ может вас удивить: примерно более трети пользователей Андроид (точнее 33,8% всех гаджетов на Android) на сегодняшний день работают с ОС до 7.1.1. И уже в скором времени - с начала нового года каждый раз, желая посетить любимую веб-страницу (защищенную Let's Encrypt) - они вновь и вновь будут сталкиваться с проблемой ее открытия и загрузки. А если верить цифрам, в настоящее время - это около 225 миллионов доменов, что довольно впечатляюще.
При таком раскладе Let's Encrypt, скорее всего, окажется в достаточно трудном положении, что абсолютно неудивительно, если учесть характер отрасли. Циклы обновления программного обеспечения чересчур медлительны, особенно в тех случаях, когда речь идет об операционных системах Android. Это общеизвестный факт, как и то, что устранить подобную «медлительность» пока не удалось и представляется действительно трудной задачей.
Заметим, что ключевая проблема кроется вовсе не в Let's Encrypt – основная проблема заключается именно в медлительности обновляющих процессов программного обеспечения для многочисленных платформ.
Современные производители, а также ведущие операторы мобильной связи часто модифицируют ОС прежде, чем загрузить ее на свои устройства и предложить их конечному пользователю. Таким образом, когда Google выпускает обновления для Android, производители и операторы не передают обновления своим клиентам, сперва они вносят соответствующие изменения в свои собственные версии ПО. Во многих случаях, если речь идет об устройствах не новейшего поколения, для них обновления просто не выпускаются в связи с большими временными и ресурсными затратами. В отдельных случаях аппаратное обеспечение устройства может не поддерживать новые версии программного обеспечения. Такая ситуация и привела к тому, что сейчас существует так много гаджетов Android с устаревшими операционными системами, и изменить это пока что не представляется возможным.
Устаревшие версии Java аналогично подвержены изменению корневого каталога. Любые пользователи, использующие версии Java до 1.8.0_141-b15, получат предупреждение об ошибки при обнаружении сертификатов Let's Encrypt.
Эти пользователи и являются основным классом «пострадавшие» из тех, что удалось заранее определить. Но, как показывает практика, связанная с истечением срока действия root, вполне вероятно, что возникнут и дополнительные проблемы совместимости с иными платформами, а также другими версиями, помимо рассмотренных и названных в статье.
Что с этим можно сделать?
Владельцы веб-ресурсов в своем распоряжении имеют сразу несколько вариантов смягчения негативных последствий грядущих изменений. Во-первых, важно своевременно предупредить посетителей, использующих старые версии Android, о необходимости обновления программного обеспечения для дальнейшего использования вашего сайта. У пользователей есть возможность либо пройти обновление, либо перейти на браузер под название Firefox Mobile, который, как известно, не пострадает из-за предполагаемых изменений благодаря тому, что он вместо списка сертификатов от ОС полагается на свой личный (постоянно обновляемый) список корневых сертификатов. Все же стоит отметить, что это удачный совет лишь в теории, не уверены, что такие действия окажутся уж очень успешными и приведут к эффективному результату. Почему? Потому что подавляющее большинство пользователей просто не захотят обновлять свои гаджеты или менять уже привычный для них браузер лишь для вашего сайта, ведь в сети существуйте достаточно альтернатив.
Еще один совет – у вас есть также возможность прекратить поддержку устаревших версий ОС. Тем не менее, это может разочаровать ваших пользователей и существенно увеличить количества запросов в службу поддержки и, следовательно, значительной потери доходов, связанных с сокращением трафика на вашем интернет-ресурсе.
Владельцы ресурсов, которые используют ACME, могут изменить настройки своих пользователей, что позволит продолжить применять сертификаты Let's Encrypt с перекрестной подписью. В то же время, решение подобного характера отнюдь недолговечно и будет эффективным лишь до сентября 2021 года. Однако это все же поможет вам выиграть дополнительное время, чтобы найти действительно эффективное и самое главное - долгосрочное решение.
Наверное, самым практичным решением в данной ситуации будет переключение на ЦС с повсеместными корнями, которым доверяют ключевые платформы (в частности, устаревшие системы). Такой вариант не требует абсолютно никаких действий от пользователя. Сертификаты от надежных и проверенных органов власти применяют собственные проверенные корни на протяжении многих лет и перекрестно подписывают их с применением своих старых корней для достижения абсолютной совместимости.
Что советуем мы: если у вас нет уверенности, как изменения повлияют на ваших посетителей и пользователей - вы можете применить Google Analytics для определения количества посетителей, использующих Android 7.1.1 или более старые версию. К примеру, наш интернет-ресурс в месяц посещают примерно 4000 человекс устаревшим программным обеспечением. В принципе здесь важно понимать, что количество таких посетителей может варьироваться в зависимости от вашей целевой аудитории.
Движения к инновациям!
Let's Encrypt начнет применять новый и менее надежный корень уже совсем скоро, поэтому лучше уже сейчас хорошо подготовиться к изменениям и разработать наиболее эффективный алгоритм действий. Ведь, по сути, пострадает около трети всех Android-гаджетов – а это довольно большая доля рынка. К сожалению, в сложившейся ситуации нет идеально-верного решения. Если вы - владельцем интернет-ресурса, можно возложить бремя предстоящих изменений и связных с ними сложностей на плечи своих пользователей, поставив себя в зависимость от их желания обновлять свои устройства или же потерять доступ к ресурсу, отыскав ему подходящую альтернативу. Вы также можете переключиться на ЦС с корневым каталогом, которому в полной мере доверяют не только новые, но и старые устройства. Это потребует с вашей стороны некоторых усилий, но, согласитесь, не такая уж большая плата для сохранения свой целевой аудитории, нарабатываемой годами.
Если вы владелец гаджета с устаревшей операционной системой, подумайте, что удобнее будет лично для вас: обновление программного обеспечения, смена привычного браузер или поиск альтернативных веб-ресурсов. В любом случае, времени у вас осталось не так уж много, но вполне достаточно, чтобы подготовиться к изменениям 11 января 2021!
