Certifikátům Let's Encrypt od ledna 2021 končí podpora na mnoha zařízeních

Defacto každý třetí uživatel zařízení s operačním systémem Android či jiným starším zařízením uvidí namísto webové stránky varování v prohlížeči podobné tomuto:

Koho to ovlivní?

Třetinu všech uživatelů zařízení s operačním systémem Android a prakticky všechny uživatele ostatních starších zařízení.

Tato zařízení totiž často od svých výrobců již nedostávají žádné další aktualizace, které obsahují i aktuální seznamy důvěryhodných certifikačních autorit.

Konkrétně budou od webových stránek s SSL certifikátem Let's Encrypt odříznuti všichni uživatelé používající Android 7.1.1 a starší. Možná si pokládáte otázku, kdo ještě používá takto zastaralá zařízení a možná budete překvapeni — je to téměř 34% všech aktuálně používaných zařízení s operačním systémem Android. Tito uživatelé tak budou odříznutí od zhruba 225 milionů domén, které používají SSL certifikáty Let's Encrypt.

Problém s Let's Encrypt se rovněž týká klientů používajících Java verze 1.8.0_141-b15 a dřívější. Těm všem bude zobrazeno varování či chybové hlášky při pokusu o připojení k serverům s Let's Encrypt. Potíže se dají očekávat i u dalších platforem.

Proč se to děje?

Kořenové (root) certifikáty Let's Encrypt zdaleka nejsou v úložišti důvěryhodných certifikačních autorit na všech zařízeních uživatelů internetu. A už vůbec ne všechny kořenové CA. Aby certifikační autorita Let's Encrypt mohla začít vystavovat důvěryhodné SSL certifikáty ihned, byl jejich kořenový certifikát DST Root CA X3 tzv. cross-signed (podepsán) jinou již zavedenou certifikační autoritou — v tomto případě IdenTrust.

Root certifikát IdenTrust však expiruje k 30.09.2021. Let's Encrypt se samozřejmě pokoušel na tuto situaci připravit vystavením nové kořenové CA ISRG Root X1. Ta ale bohužel nemá dostatečnou podporu. I přesto se certifikační autorita Let's Encrypt rozhodla už od 11.01.2021 vystavovat nové SSL certifikáty pomocí této kořenové CA. Kvůli tomu bude spousta uživatelů defacto odříznuta od webových stránek a služeb zabezpečených SSL certifikáty Let's Encrypt.

Jak to řešit?

Let's Encrypt začne používat svůj méně důvěryhodný kořenový certifikát již brzy, a tudíž je už nejvyšší čas začít situaci řešit, než bude pozdě.

Řešení jsou jen dvě. Tím prvním je aktualizovat všechna zařízení uživatelů, resp. zákazníků. To je však prakticky nemožné, protože výrobci těchto zařízení už k nim aktualizace dávno neposkytují a ani to neplánují. A také pochopitelně není ve vašich silách všechny tyto uživatele oslovit, aby vyměnili svá zařízení.

Jednodušším a spolehlivějším řešením je přejít na SSL/TLS certifikát jiné certifikační autority, která je důvěryhodná i na zařízeních, na nichž Let's Encrypt fungovat nebude.