Почему не 100% устройств распознают новые SSL-сертификаты? Делимся новостями от GlobalSign и Let’s Encrypt.

Крупные поставщики SSL-сертификатов постоянно работают над повышением уровня безопасности своих продуктов, в том числе через обновление корневых ключей. Но у этого процесса есть и обратная сторона — пользователи с устаревшими версиями операционных систем и браузеров все чаще сталкиваются с трудностями из-за того, что их устройства не распознают новые сертификаты.

🔐 Let’s Encrypt: цепочка доверия короче, но есть нюансы

Поставщик самых популярных бесплатных SSL-сертификатов еще летом объявил об отказе от промежуточного ключа, поскольку корневой сертификат Let’s Encrypt стал доверенным для абсолютного большинства операционных систем. С 8 февраля все сертификаты Let’s Encrypt по умолчанию стали работать по более короткой цепочке доверия. На практике это значит ускорение работы и более эффективные алгоритмы. В то же время для пользователей версий Android 7 и старше изменения повлекли трудности с распознаванием защищенного соединения, поскольку они не знакомы с корневым сертификатом Let’s Encrypt.

🔐 GlobalSign и новый корневой сертификат

Изменения у другого популярного вендора более основательные. С 29 января все SSL от GlobalSign используют новый корневой сертификат GCC R6 AlphaSSL CA 2023. Цель обновления — соответствие политике корневого хранилища Mozilla и требованиям CA/B Forum.

Новый корневой сертификат поддерживается в операционных системах Windows 10, Android 10, браузерах Firefox 63, IE 11, Opera 28 и выше. Полный перечень ПО, которое поддерживает новый корневой сертификат, опубликован на сайте вендора.

☝️ На сегодняшний день в Беларуси практически нет альтернатив SSL-сертификатам Let’s Encrypt и GlobalSign. Но по пути совершенствования корневых сертификат идет абсолютное большинство производителей, а это значит, что у пользователей устаревших устройств и операционных систем всегда будет больше ограничений, когда дело касается безопасности.