Muchos sitios web podrían fallar en dispositivos Android que ejecuten versiones inferiores a 7.1.1 el próximo año debido a que un certificado raíz vence.
Actualización 1 (12/22/2020 @ 01:01 a.m. hora del este): Let's Encrypt ha encontrado una manera para que los teléfonos Android más antiguos continúen visitando sitios que usan sus certificados el próximo año. El artículo original, publicado el 9 de noviembre de 2020, se conserva a continuación.
A pesar de Proyecto agudos ha jugado un papel importante en la mejora de la distribución de las últimas versiones de Android en los últimos años, la fragmentación sigue siendo una de las mayores deficiencias del ecosistema Android. Una gran parte de los dispositivos Android que se utilizan actualmente ejecutan versiones desactualizadas del sistema operativo, y eso puede provocar una variedad de problemas. Por ejemplo, muchos sitios web podrían fallar en dispositivos Android más antiguos el próximo año debido a que un certificado raíz vence.
Cuando Let's Encrypt, una autoridad certificadora sin fines de lucro que proporciona certificados gratuitos para cifrado TLS, se lanzó por primera vez hace varios años, la organización firmó firmas cruzadas con
La asociación de Let's Encrypt con IdenTrust era necesaria para que los dispositivos existentes confiaran rápidamente en los certificados del primero, pero al Al mismo tiempo, la organización emitió su propio certificado raíz (ISRG Root X1) y trabajó para que la mayoría de los principales operadores confiaran en él. sistemas. Sin embargo, algunos programas que no se han actualizado desde 2016 no confiarán en el nuevo certificado raíz, que incluye dispositivos Android que ejecutan versiones. menos que 7.1.1. Por lo tanto, cuando el certificado raíz DST Root X3 caduque el próximo año, muchos dispositivos Android más antiguos ya no confiarán en los certificados. emitido por Let's Encrypt y, por lo tanto, obtendrá errores de certificado al visitar sitios web cuyo cifrado TLS esté firmado con Let's Encrypt. certificado.
De acuerdo con la últimas estadísticas de distribución de Android Derivado de Android Studio (que se muestra a continuación), el 33,8% de los dispositivos Android en circulación en abril de 2020 ejecutan versiones de Android anteriores a 7.1 Nougat. Esto representa alrededor del 1-5% del tráfico a sitios web que tienen un certificado Let's Encrypt. Si bien el porcentaje de dispositivos que ejecutan versiones anteriores del sistema operativo Android sin duda disminuirá en el Cuando DST Root X3 expire el próximo año, la caída en el porcentaje puede no ser significativa según los datos actuales. tendencias.
Para minimizar el impacto de este cambio para los usuarios finales, Let's Encrypt ha ofrecido dos soluciones. La primera solución, dirigida a propietarios de sitios web, introducirá un cambio en la API Let's Encrypt en enero del próximo año para que "Los clientes ACME, de forma predeterminada, proporcionarán una cadena de certificados que conduce a ISRG Root X1.Sin embargo, también será posible ofrecer una cadena de certificados alternativa para el mismo certificado que conduce a DST Root X3 y ofrece una compatibilidad más amplia".
Para los usuarios finales que tienen un dispositivo que ejecuta una versión anterior de Android, Let's Encrypt sugiere instalar Firefox para evitar este problema. A diferencia de las aplicaciones de navegador estándar, que dependen del sistema operativo para obtener la lista de certificados raíz confiables, Firefox viene con su propia lista de certificados raíz confiables. La última versión de Firefox para Android incluye una lista actualizada de autoridades certificadoras confiables y permitirá a los usuarios con una versión desactualizada de Android abrir sitios web que tengan un certificado Let's Encrypt.
Precio: Gratis.
4.6.
Actualización 1: compatibilidad con dispositivos Android antiguos ampliada para los certificados Let's Encrypt
Como se anunció hoy en una publicación de blog, los dispositivos Android más antiguos que ejecuten versiones de Android anteriores a 7.1.1 podrán visitar sitios que utilicen Los certificados Let's Encrypt después de que caduque su asociación original de firma cruzada con IdenTrust año. Resulta que Android no "impone las fechas de vencimiento de los certificados utilizados como anclas de confianza". Debido a esto, IdenTrust ha emitido un Acuerdo de firma cruzada de 3 años para el certificado ISRG Root X1 de Let's Encrypt de su DST Root CA X3, aunque este último caducará el próximo año. Como tal, no habrá ningún impacto en los usuarios con teléfonos Android más antiguos, evitando la posible rotura de muchos sitios web en esos dispositivos.