Monet verkkosivustot voivat mahdollisesti rikkoutua Android-laitteissa, joissa on alle 7.1.1 versio ensi vuonna vanhentuvan juurivarmenteen vuoksi.
Päivitys 1 (12/22/2020 @ 01:01 AM ET): Let's Encrypt on löytänyt tavan, jolla vanhemmat Android-puhelimet voivat jatkaa vierailua varmenteita käyttävillä sivustoilla ensi vuonna. Alkuperäinen artikkeli, sellaisena kuin se on julkaistu 9.11.2020, on säilytetty alla.
Siitä huolimatta Projekti Treble on ollut tärkeä rooli Androidin uusimpien versioiden jakelun parantamisessa viime vuosina, pirstoutuneisuus on edelleen yksi suurimmista puutteista Android-ekosysteemistä. Valtava osa tällä hetkellä käytössä olevista Android-laitteista käyttää vanhentuneita käyttöjärjestelmän versioita, mikä voi johtaa erilaisiin ongelmiin. Esimerkiksi monet verkkosivustot saattavat rikkoutua vanhemmissa Android-laitteissa ensi vuonna vanhentuvan juurivarmenteen vuoksi.
Kun Let's Encrypt, voittoa tavoittelematon varmenneviranomainen, joka tarjoaa ilmaisia varmenteita TLS-salaukseen, lanseerattiin ensimmäisen kerran useita vuosia sitten, organisaatio allekirjoitti ristiin allekirjoitukset
IdenTrustin DST Root X3 -sertifikaatti, juurisertifikaatti, joka on ollut käytössä vuosia ja johon useimmat suuret ohjelmistoalustot luottavat, mukaan lukien Windows, iOS, Android, macOS ja monet Linux-jakelut. Tähän mennessä miljoonia verkkotunnuksia on suojattu Let's Encrypt -varmenteilla, mutta kuten kohdassa a on osoitettu viimeisin blogikirjoitus Let's Encryptistä DST Root X3 -juurivarmenne vanhenee 1.9.2021.Let's Encryptin kumppanuus IdenTrustin kanssa oli välttämätöntä, jotta entisen sertifikaatit voisivat nopeasti luottaa olemassa oleviin laitteisiin, mutta Samaan aikaan organisaatio myönsi oman juurisertifikaattinsa (ISRG Root X1) ja pyrki siihen, että useimmat suuret toimijat luottaisivat siihen. järjestelmät. Jotkut ohjelmistot, joita ei ole päivitetty vuoden 2016 jälkeen, eivät kuitenkaan luota uuteen juurivarmenteeseen, joka sisältää Android-versioita alle 7.1.1. Siksi kun DST Root X3 -juurivarmenne vanhenee ensi vuonna, monet vanhemmat Android-laitteet eivät enää luota varmenteisiin Let's Encryptin myöntämä ja saa siten varmennevirheitä vieraillessaan verkkosivustoilla, joiden TLS-salaus on allekirjoitettu Let's Encryptillä todistus.
Mukaan uusimmat Android-jakelutilastot johdettu Android Studiosta (näkyy alla), 33,8 % huhtikuussa 2020 liikkeessä olevista Android-laitteista käyttää Android-versiota, joka on vanhempi kuin 7.1 Nougat. Tämä edustaa noin 1–5 % liikenteestä verkkosivustoille, joilla on Let's Encrypt -sertifikaatti. Vaikka vanhempia Android-käyttöjärjestelmän versioita käyttävien laitteiden prosenttiosuus epäilemättä pienenee kun DST Root X3 vanhenee ensi vuonna, prosenttiosuuden pudotus ei välttämättä ole merkittävä nykyisen perusteella suuntauksia.
Minimoidakseen tämän muutoksen vaikutuksen loppukäyttäjiin Let's Encrypt on tarjonnut kaksi ratkaisua. Ensimmäinen verkkosivustojen omistajille suunnattu ratkaisu tuo Let's Encrypt APIn muutoksen ensi vuoden tammikuussa siten, että "ACME-asiakkaat palvelevat oletusarvoisesti varmenneketjua, joka johtaa ISRG Root X1:een.On kuitenkin mahdollista palvella myös vaihtoehtoista varmenneketjua samalle varmenteelle, joka johtaa DST Root X3:een ja tarjoaa laajemman yhteensopivuuden."
Loppukäyttäjille, joilla on Androidin vanhempi versio, Let's Encrypt suosittelee Firefoxin asentamista tämän ongelman kiertämiseksi. Toisin kuin varastossa olevat selainsovellukset, jotka luottavat käyttöjärjestelmään luotettujen juurivarmenteiden luettelossa, Firefox toimittaa oman luotettujen juurivarmenteiden luettelonsa. Uusin versio Firefox Androidille sisältää ajantasaisen luettelon luotetuista varmentajista, ja sen avulla käyttäjät, joilla on vanhentunut Android-versio, voivat avata verkkosivustoja, joilla on Let's Encrypt -sertifikaatti.
Hinta: Ilmainen.
4.6.
Päivitys 1: Vanhojen Android-laitteiden yhteensopivuus laajennettu Let's Encrypt -sertifikaateille
Kuten tänään ilmoitettiin blogikirjoituksessa, vanhemmat Android-laitteet, joissa on 7.1.1:tä vanhempi Android-versio, voivat vierailla sivustoilla, jotka käyttävät Salataan varmenteet sen jälkeen, kun niiden alkuperäinen ristiin allekirjoituskumppanuus IdenTrustin kanssa päättyy seuraavaksi vuosi. Osoittautuu, että Android ei "täytä luottamusankkureina käytettyjen sertifikaattien vanhenemispäiviä". Tämän vuoksi IdenTrust on julkaissut a 3-vuotinen ristiin allekirjoitussopimus Let's Encryptin ISRG Root X1 -sertifikaatista heidän DST Root CA X3 -sertifikaatistaan, vaikka jälkimmäinen vanhenee ensiksi vuosi. Sellaisenaan se ei vaikuta käyttäjiin, joilla on vanhemmat Android-puhelimet, ja vältetään monien näiden laitteiden verkkosivustojen mahdollinen rikkoutuminen.