Ancora troppi S.O. incompatibili: i prossimi step per chi usa Let’s Encrypt
Sul tuo portale web o sul tuo server stai utilizzando un certificato di sicurezza di tipo Let’s Encrypt?
Allora questo articolo ti interessa. Ci sono infatti alcune novità importanti a cui fare attenzione per evitare problemi sui siti web che lo utilizzano per l’https.
Una è lo spostamento della data inerente il cambio di root, l’altra è che anche per il 2021 si prospettano problemi di incompatibilità con molti sistemi.
Let’s Encrypt e IdenTrust
Let’s Encrypt è una Certification Authority TLS diventata molto popolare negli ultimi anni perché permette di ottenere certificati in modo automatico e gratuito.
Nel 2015, per potere essere immediatamente operativa, ha iniziato la propria attività usando certificati intermedi con firme incrociate proprie e di IdenTrust, una Certification Authority attiva da molto tempo.
“Si è fatto così perché ci vogliono diversi anni prima che un nuovo certificato root diventi disponibile in tutte le versioni dei sistemi operativi: il certificato root di IdenTrust (DST Root CA X3) lo era già da tempo, mentre quello nuovo di Let’s Encrypt (ISRG Root X1) aveva appena iniziato le procedure per essere accetato nei trust store e quindi certificati firmati solo da questo in pratica non sarebbero stati utilizzabili da quasi nessun utente.
Let’s Encrypt aveva previsto di iniziare a usare per l’8 luglio 2020 la propria root CA come nuovo default al posto che quella di IdenTrust, ma, quasi arrivati alla scadenza, è stato necessario prendere atto del fatto che ancora troppi sistemi operativi non hanno la nuova CA nei propri trust store.
Per esempio, le versioni di Android più vecchie della 7.1, ancora usate dal 33% degli utenti Android, oppure i sistemi con versioni di Debian più vecchie della 8″ riporta Marco d’Itri, Network Manager e Sysadmin Seeweb.
Cambio di root: la nuova data è settembre 2020
Per i motivi descritti sopra, Let’s Encrypt ha deciso di rimandare il cambio di root al 29 settembre 2020, ma non sono comunque ottimisti che da quei al 2021 la situazione migliorerà significativamente.
L’idea è di permettere a chi ha problemi di tornare immediatamente alla vecchia root CA e dargli tempo per organizzarsi come meglio crede per il futuro.
Sarà comunque necessario smettere di usare il certificato root di IdenTrust perché questo scadrà il 30 settembre 2021. In teoria è possibile che Let’s Encrypt otterrà una nuova certificazione incrociata da un’altra CA attiva da tempo, ma se ci sono piani in questo senso non sono stati annunciati.
Di conseguenza, a partire da ottobre 2021 gli utilizzatori di Let’s Encrypt dovranno accettare di perdere la compatibilità con i vecchi telefoni e sistemi operativi oppure usare una Certification Authority differente.
