Почему не 100% устройств распознают новые SSL-сертификаты

Крупные поставщики SSL-сертификатов постоянно работают над повышением уровня безопасности своих продуктов, в том числе через обновление корневых ключей. Но у этого процесса есть и обратная сторона — пользователи с устаревшими версиями операционных систем и браузеров все чаще сталкиваются с трудностями из-за того, что их устройства не распознают новые сертификаты.

Let’s Encrypt: цепочка доверия короче, но есть нюансы

Поставщик самых популярных бесплатных SSL-сертификатов еще летом объявил об отказе от промежуточного ключа, поскольку корневой сертификат Let’s Encrypt стал доверенным для абсолютного большинства операционных систем. С 8 февраля все сертификаты Let’s Encrypt по умолчанию стали работать по более короткой цепочке доверия. На практике это значит ускорение работы и более эффективные алгоритмы. 

В то же время для пользователей версий Android 7 и старше изменения повлекли трудности с распознаванием защищенного соединения, поскольку они не знакомы с корневым сертификатом Let’s Encrypt. По оценкам разработчиков этого SSL-сертификата в ближайшие месяцы количество пользователей устаревших версий приблизится к нулю. Посмотрим, сбудется ли их оптимистичный прогноз.
 

GlobalSign и новый корневой сертификат

Изменения у другого популярного вендора еще более основательные. С 29 января все SSL от GlobalSign используют новый корневой сертификат GCC R6 AlphaSSL CA 2023. Цель обновления — соответствие политике корневого хранилища Mozilla и требованиям CA/B Forum.

Новый корневой сертификат поддерживается в операционных системах Windows 10, Android 10, браузерах Firefox 63, IE 11, Opera 28 и выше. Полный перечень ПО, которое поддерживает новый корневой сертификат, опубликован на сайте вендора.

Наши администраторы установят полную цепочку ключей для SSL-сертификата для того, чтобы устройства с операционными системами ниже Windows 10, Android 10 правильно распознавали установленный на вашем сайте SSL-сертификат. Таким образом, если на ваш сайт зайдёт пользователь, у которого на компьютере используется ОС Windows 8, то SSL-сертификат на вашем сайте будет корректно распознан и сайт откроется без каких-либо предупреждений в браузере.

На сегодняшний день в Беларуси практически нет альтернатив SSL-сертификатам Let’s Encrypt и GlobalSign. Но по пути совершенствования корневых сертификатов идет абсолютное большинство производителей, а это значит, что у пользователей устаревших устройств и операционных систем всегда будет больше ограничений, когда дело касается безопасности.