Toon posts:

Foutje in artikel over Let's Encrypt

Pagina: 1
Acties:

woensdag 23 december 2020 00:33

Acties:
  • 0 Henk 'm!
  • SleutelMan
  • Registratie: Juni 2004
  • Laatst online: 09-10 15:18

SleutelMan

Alle Dagen Heel Druk

Topicstarter
nieuws: Let's Encrypt heeft workaround voor dreigende siteproblemen oude Andr...

@Olaf

Gaat specifiek over de volgende passage:
Wel is het zo dat gebruikers van oudere Android-versies nu het ISRG Root X1-certificaat als extra tussenstap in de certificaatketen op moeten halen voor het opzetten van de beveiligde verbinding, wat de TLS-handshake minder efficiënt maakt.
De Android gebruiker hoeft niets te doen, zoals het bronartikel zelf ook aangeeft
I use an old Android device, what do I need to do? Nothing! We’re trying to ensure that this change is completely invisible to end-users.
Overigens is dat ook nogal wiedes, daar de server (website) altijd de keten (chain) aan de client levert. Als het goed is geconfigureerd (gaat vaak fout) tot aan het vertrouwensanker (en niet tot-en-met).


Ook heb ik wat moeite met de volgende passage
Die stap zou er toe leiden dat ISRG Root X1 standaard als certificaat geserveerd zou worden, met DST Root X3 verderop in de keten als alternatief.
Nog even afgezien van het feit dat ik die tekst nergens kan vinden in het bronartikel, maakt het ook compleet geen logica. Als je dit uitschrijft krijg je
subscriber cert --> R3 --> DST Root X3 --> ISRG Root X1

Dat haal ik eruit als er wordt geschreven "verderop in de keten", Maar dat betekent dat het DST Root X3 certificaat helemaal niet meer self-signed is en daarmee ook geen vertrouwensanker voor oudere Android versies, maar een intermediate CA getekend door de ISRG Root X1 CA. En die doet het niet. Ik denk dat het stukje over de mogelijke optionele switch in de toekomst die in het bronartikel staat hier tot wat verwarring heeft geleid.
What happens when the new cross-sign expires? This new cross-sign will expire in early 2024. Prior to that, perhaps as early as June 2021, we will be making a similar change to what we intended to make this January. When we make that change, subscribers will have the option to continue using DST Root CA X3 by configuring their ACME client to specifically request it.
Voor de rest prima artikel! :)

Logius | Somda | Twitter

woensdag 23 december 2020 11:12

Acties:
  • 0 Henk 'm!
  • Olaf
  • Registratie: Maart 2007
  • Laatst online: 23-07-2024

Olaf

Goede punten, ik heb een en ander verduidelijkt: nieuws: Let's Encrypt heeft workaround voor dreigende siteproblemen oude Andr...

De passage over 'verderop in de keten' was gebaseerd op eerdere posting van Let's Encrypt. https://letsencrypt.org/2020/11/06/own-two-feet.html
As of January 11, 2021, we’re planning to make a change to our API so that ACME clients will, by default, serve a certificate chain that leads to ISRG Root X1. However, it will also be possible to serve an alternate certificate chain for the same certificate that leads to DST Root X3 and offers broader compatibility.
Maar mijn bewoordingen leverde meer vragen op dan het beantwoorde ja.

woensdag 23 december 2020 12:39

Acties:
  • 0 Henk 'm!
  • SleutelMan
  • Registratie: Juni 2004
  • Laatst online: 09-10 15:18

SleutelMan

Alle Dagen Heel Druk

Topicstarter
Thanks!

Feitelijk hebben ze dus de "alternatieve route" uit de eerdere posting dus maar als hoofdroute bestempeld. Het wordt dus een "opt-in" voor de nieuwe chain/root, i.p.v. opt-out (alhoewel dat snel weer kan wijzigen, geven ze zelf al aan, mogelijk al in juni volgend jaar..)

Logius | Somda | Twitter

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq