Mange websteder kan potentielt gå i stykker på Android-enheder, der kører versioner mindre end 7.1.1 næste år på grund af et udløbende rodcertifikat.
Opdatering 1 (12/22/2020 @ 01:01 AM ET): Let's Encrypt har fundet en måde, hvorpå ældre Android-telefoner kan fortsætte med at besøge websteder, der bruger deres certifikater næste år. Den originale artikel, som blev offentliggjort den 9. november 2020, er bevaret nedenfor.
Selvom Projekt Diskant har spillet en stor rolle i at forbedre distributionen af de nyeste versioner af Android i løbet af de sidste par år, fragmentering er stadig en af de største mangler af Android-økosystemet. En stor del af Android-enheder, der i øjeblikket er i brug, kører forældede versioner af operativsystemet, og det kan føre til en række problemer. For eksempel kan mange websteder potentielt gå i stykker på ældre Android-enheder næste år på grund af et udløbende rodcertifikat.
Da Let's Encrypt, en non-profit certifikatmyndighed, der leverer gratis certifikater til TLS-kryptering, første gang blev lanceret for flere år siden, krydssignerede organisationen signaturer med
Let's Encrypts partnerskab med IdenTrust var nødvendigt for, at førstnævntes certifikater hurtigt kunne have tillid til eksisterende enheder, men kl. Samtidig udstedte organisationen sit eget rodcertifikat (ISRG Root X1) og arbejdede på at få det til at blive betroet af de fleste større operatører systemer. Noget software, der ikke er blevet opdateret siden 2016, vil dog ikke stole på det nye rodcertifikat, som inkluderer Android-enheder, der kører versioner mindre end 7.1.1. Derfor, når DST Root X3-rodcertifikatet udløber næste år, vil mange ældre Android-enheder ikke længere stole på certifikater udstedt af Let's Encrypt og vil således få certifikatfejl ved besøg på hjemmesider, hvis TLS-kryptering er signeret med en Let's Encrypt certifikat.
Ifølge seneste Android distributionsstatistikker afledt af Android Studio (vist nedenfor), kører 33,8 % af Android-enheder i omløb i april 2020 Android-versioner ældre end 7.1 Nougat. Dette repræsenterer omkring 1-5 % af trafikken til websteder, der har et Let's Encrypt-certifikat. Mens procentdelen af enheder, der kører ældre Android OS-versioner, utvivlsomt vil falde med gang DST Root X3 udløber næste år, er faldet i procent muligvis ikke signifikant baseret på nuværende tendenser.
For at minimere virkningen af denne ændring for slutbrugere, har Let's Encrypt tilbudt to løsninger. Den første løsning, som er rettet mod webstedsejere, introducerer en ændring af Let's Encrypt API i januar næste år, så "ACME-klienter vil som standard betjene en certifikatkæde, der fører til ISRG Root X1.Det vil dog også være muligt at betjene en alternativ certifikatkæde for det samme certifikat, der fører til DST Root X3 og tilbyder bredere kompatibilitet."
For slutbrugere, der har en enhed, der kører en ældre version af Android, foreslår Let's Encrypt at installere Firefox for at omgå dette problem. I modsætning til standardbrowserapps, som er afhængige af operativsystemet til listen over betroede rodcertifikater, leveres Firefox med sin egen liste over betroede rodcertifikater. Den seneste version af Firefox til Android indeholder en opdateret liste over betroede certifikatmyndigheder, og det vil give brugere med en forældet version af Android mulighed for at åbne websteder, der har et Let's Encrypt-certifikat.
Pris: Gratis.
4.6.
Opdatering 1: Ældre Android-enhedskompatibilitet udvidet til Let's Encrypt-certifikater
Som annonceret i dag i et blogindlæg, vil ældre Android-enheder, der kører Android-versioner før 7.1.1, kunne besøge websteder, der bruger Lad os kryptere certifikater, når deres originale krydstegnspartnerskab med IdenTrust udløber næste gang år. Det viser sig, at Android ikke "håndhæver udløbsdatoer for certifikater, der bruges som tillidsankre." På grund af dette har IdenTrust udstedt en 3-årig krydstegnsaftale for Let's Encrypts ISRG Root X1-certifikat fra deres DST Root CA X3, selvom sidstnævnte udløber næste gang år. Som sådan vil der ikke være nogen indvirkning på brugere med ældre Android-telefoner, hvilket undgår den potentielle brud på mange websteder på disse enheder.