Včera začala certifikační autorita Let's Encrypt vystavovat koncové certifikáty založené na novém mezilehlém certifikátu R3, který vznikl v září. Jde o formální výměnu mezilehlých certifikátů, ty původní totiž vyprší v březnu příštího roku. R3 má také kratší název a zkracuje některé položky v těle, takže je menší a přenese se ke klientovi rychleji.
Změna se nijak nedotkne koncových uživatelů, protože nový mezilehlý certifikát je opět křížově podepsán kořenovými certifikáty ISRG Root X1 a DST Root CA X3 od společnosti IdenTrust. Týkat by se vás to ale mohlo, pokud používáte TLSA záznamy (DANE) pro poštovní server. Jestliže je máte založené na mezilehlých certifikátech, musíte přidat nové záznamy pro R3. V opačném případě budete mít problém po přegenerování certifikátu a nepředáte některým poštovním serverům zprávy.
Záznam TLSA totiž sděluje ostatním serverům, že budete při komunikaci používat konkrétní cestu důvěry a trváte dogmaticky na šifrování. Jestliže se tedy otisk v zóně rozejde se skutečným certifikátem, odmítnou s vašim serverem ostatní navázat spojení, protože budete z jejich pohledu používat nedůvěryhodný certifikát.
(Zdroj: LWN)
