Certifikační autorita Let's Encrypt od svého začátku používala mezilehlý certifikát DST Root CA X3 vystavený důvěryhodnou autoritou IdenTrust. Díky němu mohla být hned ve většina zařízení považována za důvěryhodnou a mohla začít fungovat. Původní certifikát vypršel v roce 2021 a kvůli kompatibilitě se staršími zařízeními (především systém Android) vznikl nový certifikát stejného jména, který se používá nadále.
Během té doby se ale velmi dobře rozšířil vlastní kořenový certifikát ISRG Root X1, který je dnes široce podporován napříč platformami. Zlepšila se také kompatibilita s Androidem, kde během tří let vyrostla podpora z 66 % na 93,9 %. Předpokládá se, že dojde ještě k dalšímu nárůstu, zejména díky Androidu 14, který umožňuje databázi kořenových certifikátů aktualizovat mimo povyšování verzí samotného systému.
Let's Encrypt nyní oznámil, že nastal čas zkrátit řetězec důvěry. Zrušením tohoto křížového podpisu se sníží počet bajtů odesílaných při navazování komunikace pomocí protokolu TLS o více než 40 %. Organizaci se také výrazně sníží provozní náklady. Změna nastane ve čtvrtek 8. února 2024, kdy autorita přestane ve výchozím stavu pro nově vystavené certifikáty používat křížové podpisy.
Pokud budou někteří klienti i po tomto datu požadovat zpětnou kompatibilitu se starým kořenem, budou si moci požádat o vystavení nového certifikátu s původním řetězcem. Tento mezistav však bude existovat jen do 6. června 2024, poté už bude existovat jen nová cesta. Od tohoto data poběží lhůta delší než 90 dnů, kdy budou ještě existovat nejmladší certifikáty vystavené starým způsobem.
Konec pak nastane 30. září 2024, což je také datum konce platnosti současného mezilehlého křížově podepsaného certifikátu. Další už nevznikne a tím bude Let's Encrypt definitivně odpojen od nadřazené autority IdenTrust. Problém budou mít pravděpodobně uživatelé systému Android 7.0 a starších verzí, kterým je doporučována instalace prohlížeče Firefox. Ten má vlastní úložiště kořenových certifikátů nezávislých na operačním systému.
ČLÁNKY DO MAILU