De nombreux sites Web pourraient potentiellement tomber en panne sur les appareils Android exécutant des versions inférieures à 7.1.1 l'année prochaine en raison d'un certificat racine expirant.
Mise à jour 1 (12/22/2020 @ 01:01h00 ET) : Let's Encrypt a trouvé un moyen pour les anciens téléphones Android de continuer à visiter les sites qui utilisent leurs certificats l'année prochaine. L’article original, tel que publié le 9 novembre 2020, est conservé ci-dessous.
Bien que Projet triple a joué un rôle majeur dans l'amélioration de la distribution des dernières versions d'Android au cours des dernières années, la fragmentation reste l'une des plus grandes lacunes de l'écosystème Android. Une grande partie des appareils Android actuellement utilisés exécutent des versions obsolètes du système d'exploitation, ce qui peut entraîner divers problèmes. Par exemple, de nombreux sites Web pourraient potentiellement tomber en panne sur des appareils Android plus anciens l’année prochaine en raison de l’expiration d’un certificat racine.
Lorsque Let's Encrypt, une autorité de certification à but non lucratif qui fournit des certificats gratuits pour le chiffrement TLS, a été lancée il y a plusieurs années, l'organisation a signé des signatures croisées avec Certificat DST Root X3 d'IdenTrust, un certificat racine utilisé depuis des années et auquel font confiance la majorité des principales plates-formes logicielles, notamment Windows, iOS, Android, macOS et de nombreuses distributions Linux. À ce jour, des millions de domaines Web sont protégés par des certificats Let's Encrypt, mais comme le souligne un article de blog récent de Let's Encrypt, le certificat racine DST Root X3 expirera le 1er septembre 2021.
Le partenariat de Let's Encrypt avec IdenTrust était nécessaire pour que les certificats du premier soient rapidement approuvés par les appareils existants, mais à dans le même temps, l'organisation a émis son propre certificat racine (ISRG Root X1) et s'est efforcée de lui faire confiance par la plupart des principaux organismes d'exploitation. systèmes. Cependant, certains logiciels qui n'ont pas été mis à jour depuis 2016 ne feront pas confiance au nouveau certificat racine, qui inclut les appareils Android exécutant des versions inférieur à 7.1.1. Par conséquent, lorsque le certificat racine DST Root X3 expirera l'année prochaine, de nombreux appareils Android plus anciens ne feront plus confiance aux certificats. émis par Let's Encrypt et obtiendra ainsi des erreurs de certificat lors de la visite de sites Web dont le cryptage TLS est signé avec un Let's Encrypt certificat.
Selon le dernières statistiques de distribution Android dérivé d'Android Studio (illustré ci-dessous), 33,8 % des appareils Android en circulation en avril 2020 exécutaient des versions Android antérieures à 7.1 Nougat. Cela représente environ 1 à 5 % du trafic vers les sites Web disposant d'un certificat Let's Encrypt. Même si le pourcentage d'appareils exécutant d'anciennes versions du système d'exploitation Android diminuera sans aucun doute à mesure que Au moment où DST Root X3 expirera l’année prochaine, la baisse du pourcentage pourrait ne pas être significative sur la base des données actuelles. les tendances.
Pour minimiser l'impact de ce changement pour les utilisateurs finaux, Let's Encrypt a proposé deux solutions. La première solution, destinée aux propriétaires de sites Web, introduira une modification de l'API Let's Encrypt en janvier de l'année prochaine afin que "Les clients ACME serviront, par défaut, une chaîne de certificats qui mène à ISRG Root X1.Cependant, il sera également possible de proposer une chaîne de certificat alternative pour le même certificat menant à DST Root X3 et offrant une compatibilité plus large.
Pour les utilisateurs finaux disposant d'un appareil exécutant une ancienne version d'Android, Let's Encrypt suggère d'installer Firefox pour contourner ce problème. Contrairement aux applications de navigateur standard, qui s'appuient sur le système d'exploitation pour la liste des certificats racine de confiance, Firefox est livré avec sa propre liste de certificats racine de confiance. La dernière version de Firefox pour Android comprend une liste à jour des autorités de certification de confiance et permettra aux utilisateurs disposant d'une version obsolète d'Android d'ouvrir des sites Web dotés d'un certificat Let's Encrypt.
Prix : Gratuit.
4.6.
Mise à jour 1: extension de la compatibilité des anciens appareils Android pour les certificats Let's Encrypt
Comme annoncé aujourd'hui dans un article de blog, les anciens appareils Android exécutant des versions Android antérieures à 7.1.1 pourront visiter les sites qui utilisent Chiffrons les certificats après l'expiration de leur partenariat de signature croisée d'origine avec IdenTrust année. Il s'avère qu'Android n'applique pas les dates d'expiration des certificats utilisés comme ancres de confiance. Pour cette raison, IdenTrust a émis un Accord de signature croisée de 3 ans pour le certificat ISRG Root X1 de Let's Encrypt à partir de leur DST Root CA X3, même si ce dernier expirera ensuite année. En tant que tel, il n’y aura aucun impact sur les utilisateurs de téléphones Android plus anciens, évitant ainsi la panne potentielle de nombreux sites Web sur ces appareils.