Let's Encrypt je ve Firefoxu 50 důvěryhodný

Včera byl vydán Firefox 50, se kterým se certifikační autorita Let's Encrypt stává důvěryhodnou. Její kořen byl přidán do výchozí instalace, takže uživatelé s novým Firefoxem už přímo důvěřují autoritě Let's Encrypt. Na plošnou výměnu mezilehlých certifikátů je ještě brzy, protože podobný krok musí udělat i tvůrci dalších prohlížečů, přesto je tato novinka pro autoritu podstatná.

Aby mohla začít autorita vydávat důvěryhodné certifikáty, musela se dohodnout se společností IdenTrust, která jí vystavila mezilehlý certifikát (cross-signing) na jméno „Let’s Encrypt Authority X3“. Z něj jsou pak odvozeny koncové certifikáty pro server. Protože drtivá většina klientů dnes obsahuje kořenový certifikát „DST Root CA X3“ vydaný právě společností IdenTrust, důvěřují přes mezilehlý certifikát i koncovému certifikátu.

Aby se mohl Let's Encrypt osamostatnit, musí projít certifikační procedurou, která mu umožní dostat do koncových zařízení svůj vlastní kořenový certifikát „ISRG Root X1“. Z něj je odvozen jiný mezilehlý certifikát na už zmíněné jméno „Let’s Encrypt Authority X3“. Pokud tedy klienti znají oba kořeny (IdenTrust i Let's Encrypt), může správce serveru poslat libovolný z těchto mezilehlých certifikátů a obě cesty budou důvěryhodné.

Současný stav ve Firefoxu 50, důvěryhodné jsou obě cesty

Mozilla začlenění nového kořene přislíbila už před několika měsíci a nyní se skutečně dostává k uživatelům s Firefoxem 50. Následovat by měli také další tvůrci prohlížečů, kteří považují Mozillu za autoritativní zdroj a obvykle její důvěryhodné autority přebírají. Dalších novinek bychom se tedy měli snad dočkat poměrně brzy.

Samozřejmě jsem hned Firefox 50 s výchozím seznamem autorit vyzkoušel. Na jedné doméně jsem vyměnil mezilehlý certifikát za ten, který je vydán přímo z kořene Let's Encrypt. Starší verze prohlížeče považovala koncový certifikát za nedůvěryhodný, protože kořen neznala.

Server poslal mezilehlý, ale prohlížeč nezná jeho vydavatele

Po aktualizaci na Firefox 50 skutečně v databázi důvěryhodných autorit přibyla nová položka.

Kořen Let's Encrypt je tam

Poté už se stal serverový certifikát důvěryhodným, protože se stal důvěryhodným jeho nadřazený mezilehlý certifikát.

Stejná situace, jen prohlížeč už si správně přiřadil známý kořen

Jakmile se tímto způsobem kořen rozšíří do většiny zařízení, bude se moci autorita zcela zbavit mezilehlého certifikátu od IdenTrustu. Tím zmizí potenciálně nebezpečná závislost na jiném subjektu a Let's Encrypt bude zcela samostatnou entitou.