"Acortando la cadena de confianza de Let's Encrypt"

 (letsencrypt.org)
2 puntos por GN⁺ 2023-07-11 | 1 comentarios | Compartir por WhatsApp
  • Let's Encrypt: una autoridad certificadora que ofrece certificados ampliamente confiables para sitios web
  • Los certificados inicialmente firmados de forma cruzada por DST Root CA X3 de IdenTrust se usaron para garantizar la confianza.
  • El certificado raíz propio de Let's Encrypt, ISRG Root X1, ha llegado a ser ampliamente confiable durante un largo período.
  • El certificado intermedio con firma cruzada y DST Root CA X3 vencen a finales de 2021.
  • Para mantener la compatibilidad con dispositivos Android antiguos, se aplicará una firma cruzada directamente a la raíz de Let's Encrypt.
  • La nueva firma cruzada vencerá el 30 de septiembre de 2024.
  • La proporción de dispositivos Android que confían en ISRG Root X1 aumentó de 66% a 93.9% durante los últimos tres años.
  • Android versión 14 aumentará aún más la confianza en ISRG Root X1.
  • Eliminar la firma cruzada reduce en más de 40% los bytes de certificados transmitidos en el handshake TLS y reduce los costos operativos.
  • La funcionalidad que antes usaba firma cruzada se desactivará de la configuración predeterminada en febrero de 2024 y se eliminará por completo en junio de 2024.
  • Los operadores de sitios deben monitorear las estadísticas de uso de sus sitios web y las cadenas de user-agent para identificar problemas potenciales relacionados con usuarios de Android.
  • Los usuarios de versiones anteriores a Android 7.0 podrían necesitar usar Firefox Mobile para acceder a sitios web protegidos con Let's Encrypt.
  • Los desarrolladores de clientes ACME deben garantizar la descarga e instalación correctas de la cadena de certificados.
  • Let's Encrypt agradece el apoyo y la colaboración de IdenTrust.
  • Se agradecen contribuciones y patrocinios para apoyar el trabajo de Let's Encrypt.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-07-11
Opiniones en Hacker News
  • La transición para acortar la cadena de confianza de Let's Encrypt se retrasó con base en los comentarios de la comunidad.
  • El alcance de compatibilidad de los certificados de Let's Encrypt es diferente entre dispositivos Android e iOS.
  • Apple ha sido más eficaz para convencer a los usuarios de actualizar el sistema operativo.
  • La solución de mantener la firma cruzada antigua es interesante y depende del ancla de confianza.
  • El vencimiento de los certificados con firma cruzada podría causar problemas a algunos usuarios.
  • Los costos operativos de Let's Encrypt disminuirán debido a la transición.
  • Debido al vencimiento de certificados, algunos usuarios tuvieron que cambiar de Let's Encrypt a ZeroSSL.
  • Ofrecer certificados gratuitos puede traer cambios en las reglas y en la dependencia de los usuarios.
  • TLS se considera el componente más frágil de la web debido a los cambios constantes y los vencimientos.
  • Se desconoce el trasfondo de cómo Let's Encrypt encontró una empresa de certificados para la firma cruzada.
  • El certificado intermedio con firma cruzada de Let's Encrypt y el vencimiento de DST Root CA X3 afectaron a algunos usuarios, incluidos usuarios de ubiquiti.