Вчера специалисты Let's Encrypt сообщили, что нашли решение проблемы, которое позволит старым Android-девайсам продолжать работать. И, по сути, это решение состоит в том, чтобы просто продолжать использовать просроченный сертификат от IdenTrust.
«В IdenTrust согласились выпустить перекрестную подпись на три года для нашего ISRG Root X1 от их DST Root CA X3. Это будет работать немного новаторски, так как подпись продолжит действовать после истечения срока действия DST Root CA X3. Это решение работает, так как Android намеренно не настаивает на соблюдении сроков истечения действия сертификатов, используемых в качестве якорей доверия [trust anchors].
Срок действия самозаверенного сертификата, представленного парой ключей DST Root CA X3, истекает. Однако корневые хранилища браузеров и ОС не содержат сертификатов как таковых, они содержат так называемые “якоря доверия” и стандарты для проверки, которая позволяют имплементациям выбирать, использовать ли эти якоря доверия. Android намеренно решил не использовать поле notAfter для якорей доверия. Так как наш ISRG Root X1 не был добавлен в старые доверенные хранилища Android, DST Root CA X3 не был удален. Таким образом, он может без каких-либо проблем выдать перекрестную подпись, срок действия которой превышает срок действия самого самозаверенного сертификата», — объясняют разработчики.
Срок действия новой перекрестной подписи истечет в начале 2024 года, и к тому времени Android-устройств с операционными системам, выпущенными в 2016 году и ранее, уже должно остаться ничтожно мало.
