“Я беспокоюсь о письме, которое я получил от Cloudflare, так как использую Cloudflare в своей установке. Не могли бы вы помочь мне понять, что это такое? Останусь ли я без доступа к сайту?”
Здравствуйте,
Мы обращаемся к вам, чтобы сообщить об изменениях, которые повлияют на совместимость устройств с сертификатами Let’s Encrypt, выданными после 15 мая 2024 года. Мы связываемся с вами, потому что обнаружили, что вы в настоящее время используете сертификаты Let’s Encrypt через Universal SSL, Advanced Certificate Manager, Custom Certificates или SSL для SaaS. Мы рекомендуем вам ознакомиться с изменениями в работе Let’s Encrypt и при необходимости внести соответствующие корректировки заранее.
Обзор изменений
Let’s Encrypt выдает сертификаты по двум цепочкам: цепочке ISRG Root X1 и цепочке ISRG Root X1, подписанной кросс-сертификатом от IdenTrust DST Root CA X3. Кросс-подписанная цепочка позволила сертификатам Let’s Encrypt получить широкое доверие, в то время как чистая цепочка за последние три года обеспечила совместимость с различными устройствами, увеличив количество устройств Android, доверяющих ISRG Root X1, с 66% до 93,9%.
Let’s Encrypt объявил, что кросс-подписанная цепочка истечет 30 сентября 2024 года. В результате Cloudflare прекратит выдачу сертификатов по кросс-подписанной цепочке CA с 15 мая 2024 года.
Влияние
Истечение срока действия кросс-подписанной цепочки в первую очередь затронет старые устройства (например, Android 7.0 и более ранние версии) и системы, которые полагаются исключительно на кросс-подписанную цепочку и не имеют цепочки ISRG Root X1 в своем хранилище доверенных сертификатов. Это изменение может привести к ошибкам проверки сертификатов на таких устройствах, что, в свою очередь, может вызвать предупреждающие сообщения или проблемы с доступом для пользователей, посещающих ваш веб-сайт.
Влияние на сертификаты, выданные через Universal SSL, Advanced Certificate Manager или SSL для SaaS:
В рамках подготовки к истечению срока действия CA после 15 мая Cloudflare больше не будет выдавать сертификаты по кросс-подписанной цепочке. Сертификаты, выданные до 15 мая, будут продолжать предоставляться клиентам с кросс-подписанной цепочкой. Сертификаты, выданные 15 мая или позже, будут использовать цепочку ISRG Root X1. Кроме того, это изменение касается только RSA-сертификатов. Оно не влияет на ECDSA-сертификаты, выданные через Let’s Encrypt. ECDSA-сертификаты сохранят тот же уровень совместимости, что и сегодня.
Влияние на сертификаты, загруженные через Custom Certificates:
Сертификаты, загруженные в Cloudflare, объединяются с цепочкой сертификатов, которую Cloudflare считает наиболее совместимой и эффективной. После 15 мая 2024 года все сертификаты Let’s Encrypt, загруженные в Cloudflare, будут объединены с цепочкой ISRG Root X1 вместо кросс-подписанной цепочки. Сертификаты, загруженные до 15 мая, будут продолжать использовать кросс-подписанную цепочку до момента их обновления.
Важные даты
15 мая 2024 года: Cloudflare прекратит выдачу сертификатов по кросс-подписанной цепочке CA. Кроме того, пользовательские сертификаты Let’s Encrypt, загруженные после этой даты, будут объединены с цепочкой ISRG X1 вместо кросс-подписанной цепочки.
30 сентября 2024 года: Кросс-подписанная цепочка CA истечет.
Рекомендации:
Чтобы минимизировать влияние этого изменения, мы рекомендуем выполнить следующие шаги:
-
Смена ЦС: Если ваши клиенты обращаются к вашему приложению с устаревших устройств, и вы ожидаете, что это изменение затронет их, мы рекомендуем использовать другой центр сертификации или загрузить сертификат от ЦС по вашему выбору.
-
Мониторинг: После внедрения изменений мы рекомендуем отслеживать ваши каналы поддержки на наличие запросов, связанных с предупреждениями о сертификатах или проблемами доступа.
-
Обновление хранилища доверенных сертификатов: Если вы контролируете клиенты, подключающиеся к вашему приложению, мы рекомендуем обновить хранилище доверенных сертификатов, включив в него цепочку ISRG Root X1, чтобы избежать негативных последствий.
“Это было письмо, которое я получил от них, но из-за некоторых проблем, будучи непрофессионалом, я попытался разобраться, изучил информацию, но не смог понять серьезность всего этого. Если кто-то захочет помочь мне, я буду очень благодарен.”