Wiele witryn internetowych może potencjalnie działać na urządzeniach z Androidem w wersji starszej niż 7.1.1 w przyszłym roku z powodu wygasającego certyfikatu głównego.
Aktualizacja 1 (12/22/2020 @ 01:01 rano ET): Let's Encrypt znalazł sposób, aby w przyszłym roku starsze telefony z Androidem mogły w dalszym ciągu odwiedzać strony korzystające z ich certyfikatów. Oryginalny artykuł opublikowany 9 listopada 2020 r. znajduje się poniżej.
Chociaż Projekt Treble odegrał główną rolę w poprawie dystrybucji najnowszych wersji Androida w ciągu ostatnich kilku lat, fragmentacja pozostaje jednym z największych niedociągnięć ekosystemu Androida. Ogromna część obecnie używanych urządzeń z Androidem ma nieaktualne wersje systemu operacyjnego, co może prowadzić do różnych problemów. Na przykład wiele witryn internetowych może w przyszłym roku potencjalnie przestać działać na starszych urządzeniach z Androidem z powodu wygasającego certyfikatu głównego.
Kiedy Let's Encrypt, urząd certyfikacji non-profit oferujący bezpłatne certyfikaty do szyfrowania TLS, został uruchomiony kilka lat temu, organizacja podpisała podpisy krzyżowo za pomocą
Certyfikat IdenTrust DST Root X3, certyfikat główny, który jest używany od lat i któremu ufa większość głównych platform oprogramowania, w tym Windows, iOS, Android, macOS i wiele dystrybucji Linuksa. Do tej pory miliony domen internetowych są chronione certyfikatami Let's Encrypt, ale jak wskazano w a najnowszy wpis na blogu z Let's Encrypt certyfikat główny DST Root X3 wygaśnie 1 września 2021 r.Współpraca Let's Encrypt z IdenTrust była konieczna, aby istniejące urządzenia szybko zaufały certyfikatom tej pierwszej, ale przy w tym samym czasie organizacja wydała własny certyfikat główny (ISRG Root X1) i pracowała nad tym, aby ufała mu większość głównych operatorów systemy. Jednak niektóre programy, które nie były aktualizowane od 2016 r., nie będą ufać nowemu certyfikatowi głównemu, co obejmuje urządzenia z Androidem działające w wersjach mniej niż 7.1.1. Dlatego też, gdy w przyszłym roku certyfikat główny DST Root X3 wygaśnie, wiele starszych urządzeń z systemem Android nie będzie już ufać certyfikatom wystawiony przez Let's Encrypt i w związku z tym podczas odwiedzania stron internetowych, których szyfrowanie TLS jest podpisane za pomocą Let's Encrypt, wystąpią błędy certyfikatu certyfikat.
Według najnowsze statystyki dystrybucji Androida pochodzi z Android Studio (pokazane poniżej), 33,8% urządzeń z Androidem znajdujących się w obiegu według stanu na kwiecień 2020 r. ma wersję Androida starszą niż 7.1 Nougat. Stanowi to około 1-5% ruchu na stronach internetowych posiadających certyfikat Let's Encrypt. Chociaż odsetek urządzeń ze starszymi wersjami systemu operacyjnego Android niewątpliwie spadnie po wygaśnięciu DST Root X3 w przyszłym roku, spadek procentowy może nie być znaczący w oparciu o dane bieżące trendy.
Aby zminimalizować wpływ tej zmiany na użytkowników końcowych, Let's Encrypt zaoferowało dwa rozwiązania. Pierwsze rozwiązanie, skierowane do właścicieli serwisów internetowych, w styczniu przyszłego roku wprowadzi zmianę w API Let's Encrypt, tak aby „Klienci ACME domyślnie obsługują łańcuch certyfikatów prowadzący do ISRG Root X1.Jednakże możliwe będzie również udostępnienie alternatywnego łańcucha certyfikatów dla tego samego certyfikatu, który prowadzi do DST Root X3 i zapewnia szerszą kompatybilność.
Użytkownikom końcowym posiadającym urządzenie ze starszą wersją Androida Let's Encrypt sugeruje zainstalowanie Firefoksa w celu obejścia tego problemu. W przeciwieństwie do standardowych aplikacji przeglądarkowych, które w zakresie listy zaufanych certyfikatów głównych korzystają z systemu operacyjnego, Firefox ma własną listę zaufanych certyfikatów głównych. Najnowsza wersja Firefoksa na Androida zawiera aktualną listę zaufanych urzędów certyfikacji i pozwoli użytkownikom posiadającym nieaktualną wersję Androida otwierać strony internetowe posiadające certyfikat Let's Encrypt.
Cena: za darmo.
4.6.
Aktualizacja 1: Rozszerzona kompatybilność starszych urządzeń z Androidem dla certyfikatów Let's Encrypt
Jak ogłoszono dzisiaj w poście na blogu, starsze urządzenia z systemem Android z wersją Androida wcześniejszą niż 7.1.1 będą mogły odwiedzać witryny, które korzystają z tej funkcji Certyfikaty Let's Encrypt po wygaśnięciu pierwotnego partnerstwa z IdenTrust w zakresie podpisu krzyżowego rok. Okazuje się, że Android nie „egzekwuje dat wygaśnięcia certyfikatów używanych jako kotwice zaufania”. Z tego powodu IdenTrust wydał dokument 3-letnia umowa na krzyżowe podpisywanie certyfikatu ISRG Root X1 firmy Let's Encrypt z ich DST Root CA X3, mimo że ten ostatni wygaśnie w następnej kolejności rok. W związku z tym nie będzie to miało żadnego wpływu na użytkowników starszych telefonów z systemem Android, co pozwoli uniknąć potencjalnego uszkodzenia wielu witryn internetowych na tych urządzeniach.