Aufgrund eines ablaufenden Root-Zertifikats könnten viele Websites im nächsten Jahr auf Android-Geräten mit Versionen unter 7.1.1 möglicherweise nicht mehr funktionieren.
Update 1 (12/22/2020 @ 01:01 Uhr ET): Let's Encrypt hat eine Möglichkeit gefunden, dass ältere Android-Telefone auch im nächsten Jahr weiterhin Websites besuchen können, die ihre Zertifikate verwenden. Der Originalartikel, veröffentlicht am 9. November 2020, ist unten aufgeführt.
Obwohl Projekt Treble Die Fragmentierung hat in den letzten Jahren maßgeblich zur Verbesserung der Verbreitung der neuesten Android-Versionen beigetragen bleibt eines der größten Defizite des Android-Ökosystems. Auf einem großen Teil der derzeit verwendeten Android-Geräte sind veraltete Versionen des Betriebssystems installiert, was zu einer Vielzahl von Problemen führen kann. Beispielsweise könnten viele Websites auf älteren Android-Geräten im nächsten Jahr aufgrund eines ablaufenden Root-Zertifikats möglicherweise nicht mehr funktionieren.
Als Let's Encrypt, eine gemeinnützige Zertifizierungsstelle, die kostenlose Zertifikate für die TLS-Verschlüsselung bereitstellt, vor einigen Jahren erstmals ins Leben gerufen wurde, unterzeichnete die Organisation gegenseitig signierte Signaturen
Die Partnerschaft von Let's Encrypt mit IdenTrust war notwendig, damit die Zertifikate von IdenTrust von vorhandenen Geräten schnell als vertrauenswürdig eingestuft werden konnten Gleichzeitig stellte die Organisation ihr eigenes Stammzertifikat (ISRG Root X1) aus und bemühte sich darum, dass die meisten großen Unternehmen diesem vertrauen Systeme. Allerdings vertraut einige Software, die seit 2016 nicht aktualisiert wurde, dem neuen Stammzertifikat nicht, das auch Android-Geräte umfasst, auf denen Versionen ausgeführt werden weniger als 7.1.1. Wenn das DST Root X3-Stammzertifikat im nächsten Jahr abläuft, vertrauen daher viele ältere Android-Geräte den Zertifikaten nicht mehr wird von Let's Encrypt ausgestellt und erhält daher Zertifikatsfehler beim Besuch von Websites, deren TLS-Verschlüsselung mit einem Let's Encrypt signiert ist Zertifikat.
Entsprechend der Aktuelle Statistiken zur Android-Verteilung abgeleitet von Android Studio (siehe unten), laufen auf 33,8 % der im April 2020 im Umlauf befindlichen Android-Geräte Android-Versionen, die älter als 7.1 Nougat sind. Dies entspricht etwa 1–5 % des Datenverkehrs zu Websites, die über ein Let’s Encrypt-Zertifikat verfügen. Während der Prozentsatz der Geräte, auf denen ältere Android-Betriebssystemversionen ausgeführt werden, zweifellos sinken wird Wenn DST Root Trends.
Um die Auswirkungen dieser Änderung für Endbenutzer zu minimieren, hat Let's Encrypt zwei Lösungen angeboten. Die erste Lösung, die sich an Website-Besitzer richtet, wird im Januar nächsten Jahres eine Änderung an der Let's Encrypt API einführen „ACME-Clients stellen standardmäßig eine Zertifikatskette bereit, die zu ISRG Root X1 führt.Es wird jedoch auch möglich sein, eine alternative Zertifikatskette für dasselbe Zertifikat bereitzustellen, die zu DST Root X3 führt und eine breitere Kompatibilität bietet.“
Für Endbenutzer, die ein Gerät mit einer älteren Android-Version haben, empfiehlt Let's Encrypt die Installation von Firefox, um dieses Problem zu umgehen. Im Gegensatz zu Standard-Browser-Apps, die für die Liste der vertrauenswürdigen Stammzertifikate auf das Betriebssystem angewiesen sind, wird Firefox mit einer eigenen Liste vertrauenswürdiger Stammzertifikate ausgeliefert. Die neueste Version von Firefox für Android enthält eine aktuelle Liste vertrauenswürdiger Zertifizierungsstellen und ermöglicht es Benutzern mit einer veralteten Android-Version, Websites zu öffnen, die über ein Let's Encrypt-Zertifikat verfügen.
Kostenlos.
4.6.
Update 1: Kompatibilität mit älteren Android-Geräten für Let's Encrypt-Zertifikate erweitert
Wie heute angekündigt in einem Blogbeitragkönnen ältere Android-Geräte, auf denen Android-Versionen vor 7.1.1 ausgeführt werden, Websites besuchen, die Folgendes verwenden Lassen Sie uns Zertifikate verschlüsseln, nachdem ihre ursprüngliche Cross-Sign-Partnerschaft mit IdenTrust als nächstes abläuft Jahr. Es stellt sich heraus, dass Android „die Ablaufdaten von Zertifikaten, die als Vertrauensanker verwendet werden, nicht erzwingt“. Aus diesem Grund hat IdenTrust eine herausgegeben 3-Jahres-Cross-Sign-Vereinbarung für das ISRG Root X1-Zertifikat von Let's Encrypt von deren DST Root CA X3, auch wenn letzteres als nächstes abläuft Jahr. Daher wird es keine Auswirkungen auf Benutzer mit älteren Android-Telefonen geben und der potenzielle Ausfall vieler Websites auf diesen Geräten wird vermieden.