“Estou preocupado com o e-mail que recebi da Cloudflare, pois uso Cloudflare na minha instalação, alguém poderia me ajudar a entender o que é isso? Ficarei offline?”
Olá,
Estamos entrando em contato para informar sobre uma mudança futura que impactará a compatibilidade de dispositivos de certificados Let’s Encrypt emitidos após 15 de maio de 2024. Estamos entrando em contato porque identificamos que você está usando atualmente certificados Let’s Encrypt através do Universal SSL, Advanced Certificate Manager, Custom Certificates ou SSL for SaaS. Recomendamos que você se familiarize com a mudança do Let’s Encrypt e faça os ajustes necessários com antecedência.
Visão Geral da Mudança
O Let’s Encrypt emite certificados através de duas cadeias: a cadeia ISRG Root X1 e a cadeia ISRG Root X1 com assinatura cruzada pela DST Root CA X3 da IdenTrust. A cadeia com assinatura cruzada permitiu que os certificados Let’s Encrypt fossem amplamente confiáveis, enquanto a cadeia pura desenvolveu compatibilidade com vários dispositivos nos últimos 3 anos, aumentando o número de dispositivos Android que confiam na ISRG Root X1 de 66% para 93,9%.
O Let’s Encrypt anunciou que a cadeia com assinatura cruzada expirará em 30 de setembro de 2024. Como resultado, a Cloudflare deixará de emitir certificados da cadeia CA com assinatura cruzada em 15 de maio de 2024.
Impacto
A expiração da cadeia com assinatura cruzada afetará principalmente dispositivos mais antigos (por exemplo, Android 7.0 e anteriores) e sistemas que dependem exclusivamente da cadeia com assinatura cruzada e não possuem a cadeia ISRG Root X1 em sua loja de confiança. Essa mudança pode resultar em falhas de validação de certificado nesses dispositivos, potencialmente levando a mensagens de aviso ou problemas de acesso para usuários que visitam seu site.
Impacto em certificados emitidos através do Universal SSL, Advanced Certificate Manager ou SSL for SaaS:
Para se preparar para a expiração da CA, após 15 de maio, a Cloudflare não emitirá mais certificados da cadeia com assinatura cruzada. Certificados emitidos antes de 15 de maio continuarão a ser servidos a clientes com a cadeia com assinatura cruzada. Certificados emitidos em 15 de maio ou depois usarão a cadeia ISRG Root X1. Além disso, essa mudança afeta apenas certificados RSA. Não afeta certificados ECDSA emitidos através do Let’s Encrypt. Certificados ECDSA manterão o mesmo nível de compatibilidade que têm hoje.
Impacto em certificados enviados através de Custom Certificates:
Certificados enviados para a Cloudflare são empacotados com a cadeia de certificados que a Cloudflare considera mais compatível e eficiente. Após 15 de maio de 2024, todos os certificados Let’s Encrypt enviados para a Cloudflare serão empacotados com a cadeia ISRG Root X1, em vez da cadeia com assinatura cruzada. Certificados enviados antes de 15 de maio continuarão a usar a cadeia com assinatura cruzada até que esse certificado seja renovado.
Datas Importantes
15 de maio de 2024: A Cloudflare deixará de emitir certificados da cadeia CA com assinatura cruzada. Além disso, os Custom Certificates Let’s Encrypt enviados após esta data serão empacotados com a cadeia ISRG X1 em vez da cadeia com assinatura cruzada.
30 de setembro de 2024: A cadeia CA com assinatura cruzada expirará.
Recomendações:
Para reduzir o impacto desta mudança, recomendamos tomar as seguintes medidas:
-
Mudar de CAs: Se seus clientes estiverem fazendo solicitações para sua aplicação a partir de dispositivos legados e você espera que essa mudança os afete, recomendamos usar uma autoridade de certificação diferente ou enviar um certificado da CA de sua escolha.
-
Monitoramento: Assim que a mudança for implementada, recomendamos monitorar seus canais de suporte para quaisquer dúvidas relacionadas a avisos de certificado ou problemas de acesso.
-
Atualizar Loja de Confiança: Se você controla os clientes que se conectam à sua aplicação, recomendamos atualizar a loja de confiança para incluir a cadeia ISRG Root X1 para evitar impacto.
“Este foi o e-mail que recebi deles, mas com alguns problemas, sou leigo, tentei entender, pesquisei, mas não consegui entender a gravidade de tudo isso, se alguém quiser me ajudar, serei grato.”