5 rokov od spustenia prevádzky začne populárna certifikačná autorita využívať vlastný koreňový certifikát. Zmena prebehne bez obmedzenia kompatibility starších zariadení.
Koreňový certifikát od inej CA
Aby v Let’s Encrypt pred 5 rokmi (2016) zabezpečili kompatibilitu s najpoužívanejšími softvérovými platformami, použili tzv. cross signature (DST Root X3) od inej CA – IdenTrust. Inak by ich certifikáty neboli akceptované a podporované ani zďaleka tak, ako je tomu dnes. Medzitým Let’s Encrypt vydali svoj vlastný koreňový certifikát. A postupne preň získavali podporu.
Dnes už ale všetky hlavné platformy dôverujú koreňovému certifikátu Let’s Encrypt. A keďže pôvodnému koreňovému certifikátu od IdenTrust končí onedlho platnosť (1. september 2021), v Let’s Encrypt sa rozhodli definitívne postaviť na vlastné nohy.
Obmedzenia pre zastarané platformy
Aktualizované 21.12:2020: Let’s Encrypt predsa len našlo spôsob, ako zachovať kompatibilitu aj pre staršie zariadenia. Staršie zariadenia budú fungovať bez obmedzení.
Prechod na vlastný koreňový certifikát so sebou prináša isté obmedzenie kompatibility. Zastarané a od roku 2016 neaktualizované softvérové platformy „nový“ koreňový certifikát nebudú poznať – rovnako ako ho nepoznali ani v roku 2016. Let’s Encrypt certifikáty označia za nedôveryhodné.
Medzi tieto platformy patrí najmä Android – všetky verzie staršie ako Android 7.1.1. Android má dlhoročné problémy s aktualizáciami operačného systému. Mnoho zariadení už 1 rok po vydaní nezíska žiadne aktualizácie.
Postačí zmena prehliadača
Pokiaľ vy alebo významná časť návštevníkov vášho webu používa staršie verzie Android a naďalej chcete využívať bezplatné SSL od Let’s Encrypt, sú 2 riešenia:
- Výmena staršieho zariadenia za nové
- Inštalácia prehliadača Firefox Mobile
A prečo práve Firefox Mobile? Na rozdiel od vstavaného prehliadača má svoj vlastný zoznam podporovaných koreňových certifikátov. Priebežne aktualizovaný, nezávislý od zastaraného systému.
Alternatívou je výmena Let’s Encrypt SSL za jeden z platených certifikátov.
Priebeh aktualizácie a dôležité dátumy
Vo WebSupporte začneme vydávať aktualizované Let’s Encrypt certifikáty s novým koreňovým certifikátom od 1. júna 2021. Certifikáty vydané pred týmto dátumom budú aktualizované priebežne, pri predĺžení.
Ak si Let’s Encrypt certifikáty spravujete sami – napríklad na vlastnom serveri cez appku CertBot, zmenu konfigurácie odporúčame vykonať v podobnom predstihu.
