[Atjauninājums: krīze novērsta] 2021. gadā, iespējams, daudzas vietnes varētu sabojāties vecākos Android tālruņos

Saknes sertifikāta derīguma termiņa beigšanās dēļ nākamgad daudzas vietnes varētu sabojāties Android ierīcēs, kurās darbojas jaunāka versija par 7.1.1.

Atjauninājums 1 (12/22/2020 @ 01:01 AM ET): Let's Encrypt ir atradis veidu, kā vecākiem Android tālruņiem nākamajā gadā turpināt apmeklēt vietnes, kurās tiek izmantoti viņu sertifikāti. Tālāk ir saglabāts sākotnējais raksts, kas publicēts 2020. gada 9. novembrī.

Lai gan Projekts Treble pēdējos gados ir bijusi liela loma jaunāko Android versiju izplatīšanas uzlabošanā, sadrumstalotība joprojām ir viens no lielākajiem trūkumiem no Android ekosistēmas. Lielai daļai pašlaik izmantoto Android ierīču ir novecojušas operētājsistēmas versijas, un tas var izraisīt dažādas problēmas. Piemēram, daudzas vietnes, iespējams, nākamgad varētu sabojāties vecākās Android ierīcēs saknes sertifikāta derīguma termiņa beigšanās dēļ.

Kad Let's Encrypt, bezpeļņas sertifikātu iestāde, kas nodrošina bezmaksas sertifikātus TLS šifrēšanai, pirmo reizi tika palaista pirms vairākiem gadiem, organizācija parakstīja parakstus ar

IdenTrust DST Root X3 sertifikāts, saknes sertifikāts, kas ir izmantots gadiem ilgi un kuram uzticas lielākā daļa lielāko programmatūras platformu, tostarp Windows, iOS, Android, macOS un daudzi Linux izplatījumi. Līdz šim miljoniem tīmekļa domēnu ir aizsargāti ar Let's Encrypt sertifikātiem, taču, kā norādīts a nesenais emuāra ieraksts no Let's Encrypt, DST Root X3 saknes sertifikāta derīguma termiņš beigsies 2021. gada 1. septembrī.

Uzņēmuma Let's Encrypt partnerība ar IdenTrust bija nepieciešama, lai bijušā sertifikāti ātri varētu uzticēties esošajām ierīcēm, taču plkst. tajā pašā laikā organizācija izdeva savu saknes sertifikātu (ISRG Root X1) un strādāja, lai lielākā daļa lielāko operatoru tam uzticētos. sistēmas. Tomēr daļa programmatūras, kas nav atjaunināta kopš 2016. gada, neuzticēsies jaunajam saknes sertifikātam, kas ietver Android ierīces, kurās darbojas versijas. mazāks par 7.1.1. Tāpēc, kad nākamgad beigsies DST Root X3 saknes sertifikāta derīguma termiņš, daudzas vecākas Android ierīces vairs neuzticēsies sertifikātiem. ko izdevis Let's Encrypt un tādējādi saņems sertifikātu kļūdas, apmeklējot vietnes, kuru TLS šifrēšana ir parakstīta ar Let's Encrypt sertifikāts.

Saskaņā ar jaunākā Android izplatīšanas statistika atvasināts no Android Studio (parādīts tālāk), 33,8% Android ierīču, kas bija apgrozībā 2020. gada aprīlī, darbojas ar Android versiju, kas vecāka par 7.1 Nougat. Tas veido aptuveni 1–5% datplūsmas uz vietnēm, kurām ir Let's Encrypt sertifikāts. Lai gan to ierīču procentuālais daudzums, kurās darbojas vecākas Android OS versijas, neapšaubāmi samazināsies par Kad DST Root X3 derīguma termiņš beidzas nākamgad, procentuālais kritums var nebūt ievērojams, pamatojoties uz pašreizējo tendences.

Lai samazinātu šo izmaiņu ietekmi uz galalietotājiem, Let's Encrypt ir piedāvājis divus risinājumus. Pirmais risinājums, kas ir paredzēts vietņu īpašniekiem, nākamā gada janvārī ieviesīs izmaiņas Let's Encrypt API, lai "ACME klienti pēc noklusējuma apkalpos sertifikātu ķēdi, kas ved uz ISRG Root X1.Tomēr tam pašam sertifikātam būs iespējams apkalpot arī alternatīvu sertifikātu ķēdi, kas ved uz DST Root X3 un piedāvā plašāku saderību.

Tiešajiem lietotājiem, kuriem ir ierīce, kurā darbojas vecāka Android versija, Let's Encrypt iesaka instalēt Firefox, lai apietu šo problēmu. Atšķirībā no krājumu pārlūkprogrammu lietotnēm, kas uzticamo saknes sertifikātu sarakstam paļaujas uz operētājsistēmu, Firefox tiek piegādāts ar savu uzticamo saknes sertifikātu sarakstu. Jaunākā versija Firefox operētājsistēmai Android ietver atjauninātu uzticamo sertifikācijas iestāžu sarakstu, un tas ļaus lietotājiem ar novecojušu Android versiju atvērt vietnes, kurām ir Let's Encrypt sertifikāts.

Firefox ātrā un privātā pārlūkprogrammaIzstrādātājs: Mozilla

Cena: bezmaksas.

4.6.

Lejupielādēt

1. atjauninājums: paplašināta vecāku Android ierīču saderība ar Let's Encrypt sertifikātiem

Kā šodien paziņoja emuāra ierakstā, vecākas Android ierīces, kurās darbojas Android versijas, kas vecākas par 7.1.1, varēs apmeklēt vietnes, kas izmanto Šifrēsim sertifikātus pēc tam, kad beigsies to sākotnējās savstarpējās parakstīšanas partnerība ar IdenTrust gadā. Izrādās, ka Android "nepiemēro sertifikātu derīguma termiņus, kas tiek izmantoti kā uzticamības enkuri". Šī iemesla dēļ IdenTrust ir izdevis a 3 gadu savstarpējas parakstīšanas līgums par Let's Encrypt ISRG Root X1 sertifikātu no viņu DST Root CA X3, lai gan pēdējā derīguma termiņš beigsies nākamajā gadā. Tādējādi tas neietekmēs lietotājus ar vecākiem Android tālruņiem, izvairoties no iespējamu daudzu vietņu bojājumu šajās ierīcēs.