Da qualche giorno sul tuo browser o dispositivo compare questo messaggio su alcuni siti web?
D: Cosa è successo il 30 settembre 2021?
R: E' scaduto il Root certificate DST Root CA X3 (ahahaa tutto più chiaro no??)
I browser e i dispositivi moderni si fidano del certificato Let’s Encrypt installato sul tuo sito Web perché includono già il nuovo ISRG Root X1 nel loro elenco di certificati root.
Quando Let’s Encrypt ha iniziato il processo di messa in sicurezza della rete con l’emissione dei primi certificati SSL il vecchio certificato radice (DST Root CA X3) ha permesso un’ampia diffusione del sistema di affidabilità, permettendo a molti applicativi e server di essere considerati immediatamente affidabili da quasi tutti i dispositivi. Anche il certificato radice più recente (ISRG Root X1) è ora ampiamente riconosciuto ma alcuni dispositivi, soprattutto i meno recenti che non hanno più aggiornamenti ai sistemi operativi, dal 30 settembre 2021 potrebbero considerare i nuovi certificati non sicuri, non avendo aggiornato ISRG Root X1 nel loro elenco di certificati radice. Tra questi dispositivi abbiamo ad esempio oggetti come un iPhone 4 o un HTC Dream.
D: In breve cosé e chi è Let’s Encrypt?
R: Let’s Encrypt è la più grande autorità di certificazione al mondo (L’organizzazione è no-profit) e negli ultimi anni ha emesso più di due miliardi di certificati digitali. Grazie a loro è possibile ottenere, in modo gratuito, il protocollo Secure Sockets Layer (SSL), Il quale si occupa di crittografare le informazioni nel passaggio che va dalla fonte alla destinazione. Ciò garantisce integrità e autenticazione delle informazioni tra il sito web e il tuo dispositivo.
Ci sono diversi protocolli crittografici, ma quello che ci interessa in questo momento è SSL che consente di ottenere l’HTTPS sui siti web. Let’s Encrypt può fare questo: validare, rilasciare e rinnovare un certificato SSL gratis per il proprio sito web. Il client di questo progetto è open source e il suo obiettivo è quello di rendere il web un luogo sicuro semplificando le procedure.
Fatta questa premessa più o meno tecnica ecco un elenco delle piattaforme che si fidano già di ISRG Root X1
- Windows >= XP SP3 (l’aggiornamento automatico del certificato attivo)
- macOS >= 10.12.1
- iOS >= 10 ( iOS 9 non lo include )
- iPhone 5 e versioni successive possono eseguire l’aggiornamento a iOS 10
e possono quindi fidarsi di ISRG Root X1 - Android >= 7.1.1
- Mozilla Firefox >= 50.0
- Ubuntu >= xenial / 16.04 (con aggiornamenti applicati)
- Debian >= jessie / 8 (con aggiornamenti applicati)
- Java 8 >= 8u141
- Java 7 >= 7u151
- NSS >= 3.26
Piattaforme che si fidano anche di DST Root CA X3
- Windows >= XP SP3
- macOS (la maggior parte delle versioni)
- iOS (la maggior parte delle versioni)
- Android >= v2.3.6
- Mozilla Firefox >= v2.0
- Ubuntu >= 12.04
- Debian >= 6
- Java 8 >= 8u101
- Java 7 >= 7u111
- NSS >= v3.11.9
- Amazon FireOS
- Cianogeno > v10
- Sistema operativo Jolla Sailfish > v1.1.2.16
- Kindle > v3.4.1
- Mora >= 10.3.3
- Console di gioco PS4 con firmware >= 5.00
Dispositivi incompatibili
- Blackberry < v10.3.3
- Android < v2.3.6
- Nintendo 3DS
- Windows XP prima di SP3
- non è in grado di gestire i certificati firmati SHA-2
- Java 7 < 7u111
- Java 8 < 8u101
- Windows Live Mail (client di posta 2012, non webmail)
- Console di gioco PS3
- Console di gioco PS4 con firmware <5.00
- ISRG Root X2 (nuovo root ECDSA) – in arrivo
Per un elenco delle piattaforme visita qui elenco di quali piattaforme si fidano di ISRG Root X1.
Sappiate che è necessario aggiornare la lista dei certificati (tramite gli aggiornamenti automatico del dispositivo) oppure se non supportato andrà caricato manualmente il certificato radice ISRG Root X1 (seguirà un articolo dedicato).
Insomma anche stavolta non è necessario buttare il computer o il telefono, ma fare manutenzione!
