Veel websites kunnen volgend jaar mogelijk kapot gaan op Android-apparaten met versies lager dan 7.1.1 vanwege een aflopend rootcertificaat.
Update 1 (12/22/2020 @ 01:01 uur EN): Let's Encrypt heeft een manier gevonden waarop oudere Android-telefoons ook volgend jaar sites kunnen blijven bezoeken die hun certificaten gebruiken. Het originele artikel, zoals gepubliceerd op 9 november 2020, is hieronder bewaard gebleven.
Hoewel Project Treble heeft de afgelopen jaren een belangrijke rol gespeeld bij het verbeteren van de distributie van de nieuwste versies van Android, fragmentatie blijft een van de grootste tekortkomingen van het Android-ecosysteem. Een groot deel van de Android-apparaten die momenteel in gebruik zijn, draaien op verouderde versies van het besturingssysteem, en dat kan tot allerlei problemen leiden. Veel websites kunnen bijvoorbeeld volgend jaar mogelijk kapot gaan op oudere Android-apparaten vanwege een aflopend rootcertificaat.
Toen Let's Encrypt, een non-profit certificeringsinstantie die gratis certificaten voor TLS-encryptie levert, enkele jaren geleden voor het eerst werd gelanceerd, ondertekende de organisatie handtekeningen met
De samenwerking van Let's Encrypt met IdenTrust was noodzakelijk om de certificaten van eerstgenoemde snel te kunnen vertrouwen op bestaande apparaten, maar Tegelijkertijd gaf de organisatie haar eigen rootcertificaat uit (ISRG Root X1) en deed haar best om dit te laten vertrouwen door de meeste grote operationele bedrijven. systemen. Sommige software die sinds 2016 niet meer is bijgewerkt, vertrouwt het nieuwe rootcertificaat echter niet, inclusief Android-apparaten met versies minder dan 7.1.1. Wanneer het DST Root X3-rootcertificaat volgend jaar verloopt, zullen veel oudere Android-apparaten daarom de certificaten niet langer vertrouwen uitgegeven door Let's Encrypt en krijgt dus certificaatfouten bij het bezoeken van websites waarvan de TLS-codering is ondertekend met een Let's Encrypt certificaat.
Volgens de nieuwste Android-distributiestatistieken afgeleid van Android Studio (hieronder weergegeven), draait 33,8% van de Android-apparaten die in april 2020 in omloop waren, Android-versies ouder dan 7.1 Nougat. Dit vertegenwoordigt ongeveer 1-5% van het verkeer naar websites die een Let's Encrypt-certificaat hebben. Hoewel het percentage apparaten met oudere Android OS-versies ongetwijfeld zal afnemen met de komende jaren Wanneer DST Root X3 volgend jaar afloopt, is de daling van het percentage mogelijk niet significant op basis van de huidige situatie trends.
Om de impact van deze wijziging voor eindgebruikers te minimaliseren, heeft Let's Encrypt twee oplossingen aangeboden. De eerste oplossing, die gericht is op website-eigenaren, zal in januari volgend jaar een wijziging in de Let's Encrypt API introduceren, zodat "ACME-clients zullen standaard een certificaatketen bedienen die naar ISRG Root X1 leidt.Het zal echter ook mogelijk zijn om een alternatieve certificaatketen te bieden voor hetzelfde certificaat dat naar DST Root X3 leidt en een bredere compatibiliteit biedt."
Voor eindgebruikers die een apparaat hebben waarop een oudere versie van Android draait, stelt Let's Encrypt voor om Firefox te installeren om dit probleem te omzeilen. In tegenstelling tot standaardbrowser-apps, die afhankelijk zijn van het besturingssysteem voor de lijst met vertrouwde basiscertificaten, wordt Firefox geleverd met een eigen lijst met vertrouwde basiscertificaten. De nieuwste versie van Firefox voor Android bevat een actuele lijst met vertrouwde certificeringsinstanties en stelt gebruikers met een verouderde versie van Android in staat websites te openen die een Let's Encrypt-certificaat hebben.
Prijs: gratis.
4.6.
Update 1: Compatibiliteit met oudere Android-apparaten uitgebreid voor Let's Encrypt-certificaten
Zoals vandaag aangekondigd in een blogpost, kunnen oudere Android-apparaten met Android-versies ouder dan 7.1.1 sites bezoeken die gebruikmaken van Laten we certificaten versleutelen nadat hun oorspronkelijke cross-sign-partnerschap met IdenTrust vervolgens afloopt jaar. Het blijkt dat Android "de vervaldata van certificaten die als vertrouwensankers worden gebruikt" niet afdwingt. Om deze reden heeft IdenTrust een Driejarige kruisondertekenovereenkomst voor Let's Encrypt's ISRG Root X1-certificaat van hun DST Root CA X3, ook al verloopt deze laatste daarna jaar. Als zodanig zal er geen impact zijn op gebruikers met oudere Android-telefoons, waardoor de mogelijke storing van veel websites op die apparaten wordt vermeden.