Πολλοί ιστότοποι θα μπορούσαν ενδεχομένως να χαλάσουν σε συσκευές Android με εκδόσεις μικρότερες από 7.1.1 το επόμενο έτος λόγω ενός πιστοποιητικού root που λήγει.
Ενημέρωση 1 (12/22/2020 @ 01:01 ΠΜ ET): Το Let's Encrypt βρήκε έναν τρόπο για τα παλαιότερα τηλέφωνα Android να συνεχίσουν να επισκέπτονται ιστότοπους που χρησιμοποιούν τα πιστοποιητικά τους το επόμενο έτος. Το αρχικό άρθρο, όπως δημοσιεύτηκε στις 9 Νοεμβρίου 2020, διατηρείται παρακάτω.
Αν και Project Treble έχει παίξει σημαντικό ρόλο στη βελτίωση της διανομής των τελευταίων εκδόσεων του Android τα τελευταία χρόνια, ο κατακερματισμός παραμένει μια από τις μεγαλύτερες ελλείψεις του οικοσυστήματος Android. Ένα τεράστιο κομμάτι συσκευών Android που χρησιμοποιούνται αυτήν τη στιγμή έχουν ξεπερασμένες εκδόσεις του λειτουργικού συστήματος και αυτό μπορεί να οδηγήσει σε διάφορα ζητήματα. Για παράδειγμα, πολλοί ιστότοποι θα μπορούσαν ενδεχομένως να χαλάσουν σε παλαιότερες συσκευές Android το επόμενο έτος λόγω ενός πιστοποιητικού root που λήγει.
Όταν το Let's Encrypt, μια μη κερδοσκοπική αρχή έκδοσης πιστοποιητικών που παρέχει δωρεάν πιστοποιητικά για κρυπτογράφηση TLS, που κυκλοφόρησε για πρώτη φορά πριν από αρκετά χρόνια, ο οργανισμός υπέγραψε υπογραφές με Πιστοποιητικό DST Root X3 της IdenTrust, ένα πιστοποιητικό ρίζας που χρησιμοποιείται εδώ και χρόνια και το εμπιστεύονται οι περισσότερες μεγάλες πλατφόρμες λογισμικού, συμπεριλαμβανομένων των Windows, iOS, Android, macOS και πολλών διανομών Linux. Μέχρι σήμερα, εκατομμύρια τομείς ιστού προστατεύονται με πιστοποιητικά Let's Encrypt, αλλά όπως επισημαίνεται σε πρόσφατη ανάρτηση ιστολογίου από το Let's Encrypt, το ριζικό πιστοποιητικό DST Root X3 θα λήξει την 1η Σεπτεμβρίου 2021.
Η συνεργασία του Let's Encrypt με την IdenTrust ήταν απαραίτητη προκειμένου τα πιστοποιητικά του πρώτου να είναι γρήγορα αξιόπιστα από τις υπάρχουσες συσκευές, αλλά στο την ίδια στιγμή, ο οργανισμός εξέδωσε το δικό του πιστοποιητικό ρίζας (ISRG Root X1) και εργάστηκε για να το εμπιστεύονται οι περισσότερες μεγάλες επιχειρήσεις συστήματα. Ωστόσο, κάποιο λογισμικό που δεν έχει ενημερωθεί από το 2016 δεν θα εμπιστεύεται το νέο πιστοποιητικό root, το οποίο περιλαμβάνει συσκευές Android που εκτελούν εκδόσεις λιγότερο από 7.1.1. Επομένως, όταν το ριζικό πιστοποιητικό DST Root X3 λήξει το επόμενο έτος, πολλές παλαιότερες συσκευές Android δεν θα εμπιστεύονται πλέον τα πιστοποιητικά εκδίδεται από το Let's Encrypt και έτσι θα λαμβάνει σφάλματα πιστοποιητικού κατά την επίσκεψη σε ιστότοπους των οποίων η κρυπτογράφηση TLS έχει υπογραφεί με ένα Let's Encrypt πιστοποιητικό.
Σύμφωνα με την τελευταία στατιστικά στοιχεία διανομής Android που προέρχεται από το Android Studio (εμφανίζεται παρακάτω), το 33,8% των συσκευών Android που κυκλοφορούσαν τον Απρίλιο του 2020 εκτελούσαν εκδόσεις Android παλαιότερες από 7.1 Nougat. Αυτό αντιπροσωπεύει περίπου το 1-5% της επισκεψιμότητας σε ιστότοπους που διαθέτουν πιστοποιητικό Let's Encrypt. Ενώ το ποσοστό των συσκευών που διαθέτουν παλαιότερες εκδόσεις λειτουργικού συστήματος Android θα μειωθεί αναμφίβολα κατά το όταν το DST Root X3 λήγει το επόμενο έτος, η πτώση στο ποσοστό μπορεί να μην είναι σημαντική με βάση το τρέχον τάσεις.
Για να ελαχιστοποιηθεί ο αντίκτυπος αυτής της αλλαγής για τους τελικούς χρήστες, το Let's Encrypt έχει προσφέρει δύο λύσεις. Η πρώτη λύση, η οποία απευθύνεται στους κατόχους ιστότοπων, θα εισάγει μια αλλαγή στο Let's Encrypt API τον Ιανουάριο του επόμενου έτους, έτσι ώστε "Οι πελάτες ACME θα εξυπηρετούν, από προεπιλογή, μια αλυσίδα πιστοποιητικών που οδηγεί στο ISRG Root X1.Ωστόσο, θα είναι επίσης δυνατό να εξυπηρετηθεί μια εναλλακτική αλυσίδα πιστοποιητικών για το ίδιο πιστοποιητικό που οδηγεί στο DST Root X3 και προσφέρει ευρύτερη συμβατότητα."
Για τους τελικούς χρήστες που διαθέτουν μια συσκευή με παλαιότερη έκδοση Android, το Let's Encrypt προτείνει την εγκατάσταση του Firefox για να παρακάμψετε αυτό το ζήτημα. Σε αντίθεση με τις στοκ εφαρμογές προγράμματος περιήγησης, οι οποίες βασίζονται στο λειτουργικό σύστημα για τη λίστα των αξιόπιστων πιστοποιητικών ρίζας, ο Firefox αποστέλλεται με τη δική του λίστα αξιόπιστων πιστοποιητικών ρίζας. Η πιο πρόσφατη έκδοση του Firefox για Android περιλαμβάνει μια ενημερωμένη λίστα αξιόπιστων αρχών έκδοσης πιστοποιητικών και θα επιτρέπει στους χρήστες με μια παλιά έκδοση του Android να ανοίγουν ιστότοπους που διαθέτουν πιστοποιητικό Let's Encrypt.
Τιμή: Δωρεάν.
4.6.
Ενημέρωση 1: Επέκταση της συμβατότητας παλαιότερων συσκευών Android για Let's Encrypt Certificates
Όπως ανακοινώθηκε σήμερα σε μια ανάρτηση ιστολογίου, παλαιότερες συσκευές Android με εκδόσεις Android πριν από την 7.1.1 θα μπορούν να επισκέπτονται ιστότοπους που χρησιμοποιούν Ας κρυπτογραφήσουμε τα πιστοποιητικά μετά τη λήξη της αρχικής συνεργασίας τους με το IdenTrust έτος. Αποδεικνύεται ότι το Android δεν "επιβάλλει τις ημερομηνίες λήξης των πιστοποιητικών που χρησιμοποιούνται ως αγκυρώσεις εμπιστοσύνης". Εξαιτίας αυτού, η IdenTrust εξέδωσε α Συμφωνία διασταυρούμενης υπογραφής 3 ετών για το πιστοποιητικό ISRG Root X1 της Let's Encrypt από το DST Root CA X3, παρόλο που το τελευταίο θα λήξει την επόμενη έτος. Ως εκ τούτου, δεν θα υπάρξει καμία επίδραση στους χρήστες με παλαιότερα τηλέφωνα Android, αποφεύγοντας την πιθανή θραύση πολλών ιστότοπων σε αυτές τις συσκευές.