אתרים רבים עלולים להישבר במכשירי אנדרואיד המריצים גרסאות פחות מ-7.1.1 בשנה הבאה עקב תעודת שורש שפג תוקפו.
עדכון 1 (12/22/2020 @ 01:01 בבוקר ET): Let's Encrypt מצאה דרך לטלפונים אנדרואיד ישנים יותר להמשיך לבקר באתרים המשתמשים בתעודות שלהם בשנה הבאה. המאמר המקורי, כפי שפורסם ב-9 בנובמבר 2020, נשמר להלן.
למרות ש פרויקט טרבל מילא תפקיד מרכזי בשיפור ההפצה של הגרסאות האחרונות של אנדרואיד במהלך השנים האחרונות, פיצול נשאר אחד החסרונות הגדולים ביותר של המערכת האקולוגית של אנדרואיד. נתח עצום של מכשירי אנדרואיד הנמצאים כיום בשימוש מפעיל גרסאות לא מעודכנות של מערכת ההפעלה, וזה יכול להוביל למגוון בעיות. לדוגמה, אתרים רבים עלולים להישבר במכשירי אנדרואיד ישנים בשנה הבאה עקב תעודת שורש שפג תוקפו.
כאשר Let's Encrypt, רשות אישורים ללא מטרות רווח המספקת אישורים בחינם להצפנת TLS, הושקה לראשונה לפני מספר שנים, הארגון חתם חתימות עם תעודת DST Root X3 של IdenTrust, תעודת שורש שנמצאת בשימוש במשך שנים ואשר מהימן על ידי רוב פלטפורמות התוכנה הגדולות, כולל Windows, iOS, Android, macOS והפצות רבות של לינוקס. עד כה, מיליוני דומיינים באינטרנט מוגנים באמצעות אישורי Let's Encrypt, אך כפי שצוין ב
השותפות של Let's Encrypt עם IdenTrust הייתה הכרחית כדי שהתעודות של הראשון יהיו מהימנות במהירות על ידי מכשירים קיימים, אך ב- באותו זמן, הארגון הנפיק את תעודת השורש שלו (ISRG Root X1) ופעל כדי שיהיה אמון על ידי רוב המבצעים הגדולים מערכות. עם זאת, תוכנות מסוימות שלא עודכנו מאז 2016 לא יבטחו בתעודת השורש החדשה, הכוללת מכשירי אנדרואיד המריצים גרסאות פחות מ-7.1.1. לכן, כאשר תוקף אישור השורש DST Root X3 יפוג בשנה הבאה, הרבה מכשירי אנדרואיד ישנים יותר לא יבטחו עוד באישורים הונפק על ידי Let's Encrypt ובכך יקבל שגיאות אישור בעת ביקור באתרים שהצפנת ה-TLS שלהם חתומה עם Let's Encrypt תְעוּדָה.
על פי סטטיסטיקות ההפצה העדכניות ביותר של אנדרואיד נגזר מ-Android Studio (מוצג להלן), 33.8% ממכשירי אנדרואיד במחזור נכון לאפריל 2020 מריצים גרסאות אנדרואיד ישנות יותר מ-7.1 נוגט. זה מייצג בערך 1-5% מהתנועה לאתרים שיש להם אישור Let's Encrypt. בעוד שאחוז המכשירים המריצים גרסאות ישנות יותר של מערכת ההפעלה אנדרואיד יקטן ללא ספק ב- כאשר DST Root X3 יפוג בשנה הבאה, ייתכן שהירידה באחוז לא תהיה משמעותית בהתבסס על הנוכחי מגמות.
כדי למזער את ההשפעה של שינוי זה על משתמשי קצה, Let's Encrypt הציעה שני פתרונות. הפתרון הראשון, המופנה לבעלי אתרים, יציג שינוי ב-Let's Encrypt API בינואר בשנה הבאה, כך "לקוחות ACME ישרתו, כברירת מחדל, שרשרת אישורים המובילה ל-ISRG Root X1.עם זאת, ניתן יהיה לשרת גם שרשרת אישורים חלופית לאותה תעודה שמובילה ל-DST Root X3 ומציעה תאימות רחבה יותר".
עבור משתמשי קצה שיש להם מכשיר המריץ גרסה ישנה יותר של אנדרואיד, Let's Encrypt מציע להתקין את Firefox כדי לעקוף בעיה זו. שלא כמו אפליקציות דפדפן מניות, המסתמכות על מערכת ההפעלה עבור רשימת תעודות השורש המהימנות, פיירפוקס מגיע עם רשימת תעודות שורש מהימנות משלה. הגרסה האחרונה של פיירפוקס לאנדרואיד כולל רשימה עדכנית של רשויות אישורים מהימנות, והיא תאפשר למשתמשים עם גרסה מיושנת של אנדרואיד לפתוח אתרים בעלי אישור Let's Encrypt.
מחיר: חינם.
4.6.
עדכון 1: מורחבת תאימות מכשירי אנדרואיד ישנים עבור Let's Encrypt אישורים
כפי שפורסם היום בפוסט בבלוג, מכשירי אנדרואיד ישנים יותר המריצים גרסאות אנדרואיד לפני 7.1.1 יוכלו לבקר באתרים המשתמשים הבה נצפין אישורים לאחר שתפוג תוקף השותפות המקורית שלהם עם IdenTrust שָׁנָה. מסתבר שאנדרואיד לא "אוכפת את תאריכי התפוגה של אישורים המשמשים כעוגני אמון". בשל כך, IdenTrust הנפיקה א הסכם חתימה צולבת לשלוש שנים עבור תעודת ISRG Root X1 של Let's Encrypt מה-DST Root CA X3 שלהם, למרות שהאחרון יפוג בשלב הבא שָׁנָה. ככזה, לא תהיה השפעה על משתמשים עם טלפונים אנדרואיד ישנים יותר, תוך הימנעות מהשבירה הפוטנציאלית של אתרים רבים במכשירים אלה.