IdenTrust ตกลงทำ Cross-Sign ให้ Let's Encrypt ทำให้โทรศัพท์แอนรอยด์รุ่นเก่าใช้งานได้ต่อ

By: lew

on 22 December 2020 - 21:29 Tags:

Topics:

Let's Encrypt

Digital Certificate

Security

หลังจาก Let's Encrypt ประกาศเลิกทำ cross-sign จาก IdenTrust แล้วใช้ ISRG Root X1 ของตัวเองเป็น root CA ที่ระบบปฎิบัติการของไคลเอนต์ต้องเชื่อถือ แต่ระบบปฎิบัติการเก่าโดยเฉพาะแอนดรอยด์ที่เก่ากว่าเวอร์ชั่น 7.1.1 จะไม่เชื่อถือใบรับรอง ตอนนี้ทาง Let's Encrypt ก็ออกแนวทางใหม่ออกมา ทำให้ใบรับรองหลังจากนี้สามารถใช้กับอุปกรณ์รุ่นเก่าได้ต่อไป

แนวทางใหม่คือการนำ DST Root CA X3 ที่เคยใช้ทำ cross-sign กับ intermediate CA ของ Let's Encrypt (Let's Encrypt R3) ไปรับรอง ISRG Root X1 โดยมีอายุการรับรองยาว 3 ปี ทำให้เซิร์ฟเวอร์ที่ต้องรองรับอุปกรณ์เก่า สามารถวาง ISRG Root X1 ที่ได้รับการรับรองให้เป็นเหมือน intermediate CA อีกใบ ข้อเสียสำคัญคือขนาดใบรับรองแบบ full chain จะใหญ่ขึ้น

สำหรับเซิร์ฟเวอร์ที่ไม่ต้องการรองรับไคลเอนต์เก่าสามารถขอ alternate chain ที่มี Let's Encrypt R3 เป็น intermediate CA ตัวเดียว หรือแม้กระทั่งย้ายไปใช้สายรับรองแบบ ECDSA ที่มีขนาดเล็กลงไปอีก

ที่มา - Let's Encrypt

No Description

Hiring! บริษัทที่น่าสนใจ

Band Protocol 🔥

Band is a protocol for managing and governing data in the Web3 technology stack.

Digital Health Venture., Ltd

DHV [Digital Health Venture] is an innovation and venture arm of Samitivej Hospital Group.

AI & Robotics Ventures Co.,Ltd

AI & Robotics Ventures (ARV) is a venture building arm of PTTEP

Comments

By: franket on 24 December 2020 - 16:17 #1191097

หาไม่เจอ

จากตรงนี้
"แนวทางใหม่คือการนำ DST Root CA X3 ที่เคยใช้ทำ cross-sign กับ intermediate CA ของ Let's Encrypt (Let's Encrypt R3) ไปรับรอง ISRG Root X1 โดยมีอายุการรับรองยาว 3 ปี"

หมายความว่า จะให้ R3 กลับไปใช้ X3 รับรอง แล้วก็จะมีอายุ 3 ปี

ผมเข้าไปโหลดจากในเว็บ (https://letsencrypt.org/certs/lets-encrypt-r3-cross-signed.pem) มีอายุไม่ถึงปี
หรือเค้ายังไม่อัพใหม่ ไม่แน่ใจ

By: lew

on 3 January 2021 - 15:02 #1192012 Reply to:1191097

หาอะไรหรือครับ

lewcpe.com, @wasonliw

Main menu