Tags:
Node Thumbnail

หลังจาก Let's Encrypt ประกาศเลิกทำ cross-sign จาก IdenTrust แล้วใช้ ISRG Root X1 ของตัวเองเป็น root CA ที่ระบบปฎิบัติการของไคลเอนต์ต้องเชื่อถือ แต่ระบบปฎิบัติการเก่าโดยเฉพาะแอนดรอยด์ที่เก่ากว่าเวอร์ชั่น 7.1.1 จะไม่เชื่อถือใบรับรอง ตอนนี้ทาง Let's Encrypt ก็ออกแนวทางใหม่ออกมา ทำให้ใบรับรองหลังจากนี้สามารถใช้กับอุปกรณ์รุ่นเก่าได้ต่อไป

แนวทางใหม่คือการนำ DST Root CA X3 ที่เคยใช้ทำ cross-sign กับ intermediate CA ของ Let's Encrypt (Let's Encrypt R3) ไปรับรอง ISRG Root X1 โดยมีอายุการรับรองยาว 3 ปี ทำให้เซิร์ฟเวอร์ที่ต้องรองรับอุปกรณ์เก่า สามารถวาง ISRG Root X1 ที่ได้รับการรับรองให้เป็นเหมือน intermediate CA อีกใบ ข้อเสียสำคัญคือขนาดใบรับรองแบบ full chain จะใหญ่ขึ้น

สำหรับเซิร์ฟเวอร์ที่ไม่ต้องการรองรับไคลเอนต์เก่าสามารถขอ alternate chain ที่มี Let's Encrypt R3 เป็น intermediate CA ตัวเดียว หรือแม้กระทั่งย้ายไปใช้สายรับรองแบบ ECDSA ที่มีขนาดเล็กลงไปอีก

ที่มา - Let's Encrypt

No Description

Get latest news from Blognone

Comments

By: franket on 24 December 2020 - 16:17 #1191097

หาไม่เจอ

จากตรงนี้
"แนวทางใหม่คือการนำ DST Root CA X3 ที่เคยใช้ทำ cross-sign กับ intermediate CA ของ Let's Encrypt (Let's Encrypt R3) ไปรับรอง ISRG Root X1 โดยมีอายุการรับรองยาว 3 ปี"

หมายความว่า จะให้ R3 กลับไปใช้ X3 รับรอง แล้วก็จะมีอายุ 3 ปี

ผมเข้าไปโหลดจากในเว็บ (https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem) มีอายุไม่ถึงปี
หรือเค้ายังไม่อัพใหม่ ไม่แน่ใจ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 3 January 2021 - 15:02 #1192012 Reply to:1191097
lew's picture

หาอะไรหรือครับ


lewcpe.com, @wasonliw