Много уебсайтове може потенциално да се счупят на устройства с Android, работещи с версии, по-малки от 7.1.1, през следващата година поради изтичащ основен сертификат.
Актуализация 1 (12/22/2020 @ 01:01 сутринта ET): Let's Encrypt намери начин по-старите телефони с Android да продължат да посещават сайтове, които използват техните сертификати през следващата година. Оригиналната статия, публикувана на 9 ноември 2020 г., е запазена по-долу.
Макар че Проект Treble изигра основна роля в подобряването на разпространението на най-новите версии на Android през последните няколко години, фрагментация остава един от най-големите недостатъци на екосистемата на Android. Голяма част от устройствата с Android, които се използват в момента, работят с остарели версии на операционната система и това може да доведе до различни проблеми. Например, много уебсайтове може потенциално да се повредят на по-стари устройства с Android през следващата година поради изтичащ основен сертификат.
Когато Let's Encrypt, сертифициращ орган с нестопанска цел, който предоставя безплатни сертификати за TLS криптиране, пуснат за първи път преди няколко години, организацията кръстосано подписва с
Партньорството на Let's Encrypt с IdenTrust беше необходимо, за да могат сертификатите на първия бързо да се доверят от съществуващите устройства, но при в същото време организацията издаде собствен основен сертификат (ISRG Root X1) и работи, за да му се довери повечето големи операционни системи. Някои софтуери, които не са актуализирани от 2016 г., обаче няма да се доверят на новия основен сертификат, който включва устройства с Android, работещи с версии по-малко от 7.1.1. Следователно, когато основният сертификат DST Root X3 изтече през следващата година, много по-стари устройства с Android вече няма да се доверяват на сертификатите издаден от Let's Encrypt и по този начин ще получи грешки в сертификата при посещение на уебсайтове, чието TLS криптиране е подписано с Let's Encrypt сертификат.
Според най-новите статистически данни за разпространението на Android извлечени от Android Studio (показано по-долу), 33,8% от устройствата с Android в обращение към април 2020 г. работят с версии на Android, по-стари от 7.1 Nougat. Това представлява около 1-5% от трафика към уебсайтове, които имат сертификат Let's Encrypt. Въпреки че процентът на устройствата, работещи с по-стари версии на Android OS, несъмнено ще намалее с когато DST Root X3 изтече през следващата година, спадът в процента може да не е значителен въз основа на текущия момент тенденции.
За да минимизира въздействието на тази промяна върху крайните потребители, Let's Encrypt предложи две решения. Първото решение, което е насочено към собствениците на уебсайтове, ще въведе промяна в Let's Encrypt API през януари следващата година, така че „Клиентите на ACME по подразбиране ще обслужват верига от сертификати, която води до ISRG Root X1.Въпреки това, също така ще бъде възможно да се обслужва алтернативна верига от сертификати за същия сертификат, който води до DST Root X3 и предлага по-широка съвместимост."
За крайни потребители, които имат устройство с по-стара версия на Android, Let's Encrypt предлага да инсталират Firefox, за да заобиколят този проблем. За разлика от стандартните приложения за браузър, които разчитат на операционната система за списъка с доверени основни сертификати, Firefox се доставя със собствен списък с доверени основни сертификати. Най-новата версия на Firefox за Android включва актуален списък с доверени сертифициращи органи и ще позволи на потребителите с остаряла версия на Android да отварят уебсайтове, които имат сертификат Let's Encrypt.
Цена: Безплатно.
4.6.
Актуализация 1: Разширена съвместимост на по-стари устройства с Android за Let's Encrypt Certificates
Както бе обявено днес в публикация в блог, по-старите устройства с Android с версии на Android преди 7.1.1 ще могат да посещават сайтове, които използват Да шифроваме сертификати, след като първоначалното им партньорство с IdenTrust изтече година. Оказва се, че Android не „налага датите на изтичане на сертификатите, използвани като надеждни котви“. Поради това IdenTrust издаде a 3-годишно споразумение за кръстосано подписване за ISRG Root X1 сертификат на Let's Encrypt от техния DST Root CA X3, въпреки че последният ще изтече следващия година. Поради това няма да има въздействие върху потребителите с по-стари телефони с Android, като се избягва потенциалното счупване на много уебсайтове на тези устройства.