Molti siti Web potrebbero potenzialmente rompersi sui dispositivi Android con versioni inferiori alla 7.1.1 l'anno prossimo a causa di un certificato root in scadenza.
Aggiornamento 1 (12/22/2020 @ 01:01:00 ET): Let's Encrypt ha trovato un modo per consentire ai vecchi telefoni Android di continuare a visitare i siti che utilizzano i loro certificati l'anno prossimo. L'articolo originale, pubblicato il 9 novembre 2020, è conservato di seguito.
Sebbene Progetto Treble ha svolto un ruolo importante nel migliorare la distribuzione delle ultime versioni di Android negli ultimi anni, frammentandola rimane una delle maggiori carenze dell'ecosistema Android. Un'enorme quantità di dispositivi Android attualmente in uso esegue versioni obsolete del sistema operativo e ciò può portare a una serie di problemi. Ad esempio, molti siti Web potrebbero potenzialmente rompersi sui dispositivi Android meno recenti l'anno prossimo a causa di un certificato root in scadenza.
Quando Let's Encrypt, un'autorità di certificazione senza scopo di lucro che fornisce certificati gratuiti per la crittografia TLS, è stata lanciata per la prima volta diversi anni fa, l'organizzazione ha firmato in modo incrociato le firme con
Certificato DST Root X3 di IdenTrust, un certificato radice utilizzato da anni e considerato affidabile dalla maggior parte delle principali piattaforme software, tra cui Windows, iOS, Android, macOS e molte distribuzioni Linux. Ad oggi milioni di domini web sono protetti con certificati Let's Encrypt, ma come sottolineato in a post recente sul blog da Let's Encrypt, il certificato root DST Root X3 scadrà il 1 settembre 2021.La partnership di Let's Encrypt con IdenTrust era necessaria affinché i certificati del primo diventassero rapidamente attendibili da parte dei dispositivi esistenti, ma a Allo stesso tempo, l'organizzazione ha emesso il proprio certificato root (ISRG Root X1) e ha lavorato affinché fosse considerato attendibile dalla maggior parte dei principali operatori sistemi. Tuttavia, alcuni software che non sono stati aggiornati dal 2016 non si fideranno del nuovo certificato root, che include i dispositivi Android che eseguono versioni inferiore a 7.1.1. Pertanto, quando il certificato root DST Root X3 scade l'anno prossimo, molti dispositivi Android meno recenti non si fideranno più dei certificati emesso da Let's Encrypt e pertanto verranno visualizzati errori di certificato quando si visitano siti Web la cui crittografia TLS è firmata con Let's Encrypt certificato.
Secondo il ultime statistiche sulla distribuzione Android derivato da Android Studio (mostrato di seguito), il 33,8% dei dispositivi Android in circolazione ad aprile 2020 esegue versioni Android precedenti alla 7.1 Nougat. Ciò rappresenta circa l'1-5% del traffico verso i siti Web che dispongono di un certificato Let's Encrypt. Mentre la percentuale di dispositivi con versioni precedenti del sistema operativo Android diminuirà senza dubbio Quando l'ora legale Root X3 scade l'anno prossimo, il calo percentuale potrebbe non essere significativo in base all'attuale tendenze.
Per ridurre al minimo l'impatto di questo cambiamento per gli utenti finali, Let's Encrypt ha offerto due soluzioni. La prima soluzione, rivolta ai proprietari di siti web, introdurrà una modifica all'API Let's Encrypt a gennaio del prossimo anno in modo che "I client ACME, per impostazione predefinita, serviranno una catena di certificati che porta a ISRG Root X1.Tuttavia, sarà anche possibile fornire una catena di certificati alternativa per lo stesso certificato che porta a DST Root X3 e offre una compatibilità più ampia."
Per gli utenti finali che dispongono di un dispositivo con una versione precedente di Android, Let's Encrypt suggerisce di installare Firefox per aggirare questo problema. A differenza delle app browser standard, che si basano sul sistema operativo per l'elenco dei certificati radice attendibili, Firefox viene fornito con il proprio elenco di certificati radice attendibili. L'ultima versione di Firefox per Android include un elenco aggiornato di autorità di certificazione attendibili e consentirà agli utenti con una versione obsoleta di Android di aprire siti Web dotati di un certificato Let's Encrypt.
Prezzo: gratuito.
4.6.
Aggiornamento 1: compatibilità dei dispositivi Android precedenti estesa per i certificati Let's Encrypt
Come annunciato oggi in un post sul blog, i dispositivi Android meno recenti con versioni Android precedenti alla 7.1.1 potranno visitare i siti che utilizzano Crittografiamo i certificati dopo la scadenza della loro partnership di firma incrociata originale con IdenTrust anno. Si scopre che Android non "applica le date di scadenza dei certificati utilizzati come trust Anchor". Per questo motivo, IdenTrust ha emesso un Contratto di firma incrociata di 3 anni per il certificato ISRG Root X1 di Let's Encrypt dalla loro DST Root CA X3, anche se quest'ultimo scadrà il prossimo anno. Pertanto, non ci sarà alcun impatto sugli utenti con telefoni Android meno recenti, evitando la potenziale rottura di molti siti Web su tali dispositivi.