Muitos sites podem quebrar em dispositivos Android executando versões inferiores a 7.1.1 no próximo ano devido a um certificado raiz expirado.
Atualização 1 (12/22/2020 @ 01:01h ET): Let's Encrypt encontrou uma maneira de telefones Android mais antigos continuarem visitando sites que usam seus certificados no próximo ano. O artigo original, publicado em 9 de novembro de 2020, está preservado abaixo.
Embora Projeto Agudos desempenhou um papel importante na melhoria da distribuição das versões mais recentes do Android nos últimos anos, a fragmentação continua a ser uma das maiores deficiências do ecossistema Android. Uma grande parte dos dispositivos Android em uso atualmente executa versões desatualizadas do sistema operacional, e isso pode levar a vários problemas. Por exemplo, muitos sites podem falhar em dispositivos Android mais antigos no próximo ano devido à expiração de um certificado raiz.
Quando a Let's Encrypt, uma autoridade de certificação sem fins lucrativos que fornece certificados gratuitos para criptografia TLS, foi lançada há vários anos, a organização assinou assinaturas cruzadas com
Certificado DST Root X3 da IdenTrust, um certificado raiz que está em uso há anos e é confiável pela maioria das principais plataformas de software, incluindo Windows, iOS, Android, macOS e muitas distribuições Linux. Até o momento, milhões de domínios da web estão protegidos com certificados Let's Encrypt, mas como apontado em um postagem recente no blog do Let's Encrypt, o certificado raiz DST Root X3 expirará em 1º de setembro de 2021.A parceria da Let's Encrypt com a IdenTrust foi necessária para que os certificados do primeiro fossem rapidamente confiáveis pelos dispositivos existentes, mas pelo menos ao mesmo tempo, a organização emitiu seu próprio certificado raiz (ISRG Root X1) e trabalhou para que ele fosse confiável para a maioria das principais operações. sistemas. No entanto, alguns softwares que não são atualizados desde 2016 não confiarão no novo certificado raiz, que inclui dispositivos Android que executam versões menos de 7.1.1. Portanto, quando o certificado raiz DST Root X3 expirar no próximo ano, muitos dispositivos Android mais antigos não confiarão mais nos certificados emitido pela Let's Encrypt e, portanto, obterá erros de certificado ao visitar sites cuja criptografia TLS é assinada com Let's Encrypt certificado.
De acordo com últimas estatísticas de distribuição do Android derivado do Android Studio (mostrado abaixo), 33,8% dos dispositivos Android em circulação em abril de 2020 executam versões do Android anteriores a 7.1 Nougat. Isso representa cerca de 1 a 5% do tráfego para sites que possuem um certificado Let's Encrypt. Embora a porcentagem de dispositivos que executam versões mais antigas do sistema operacional Android diminua, sem dúvida, Quando o DST Root X3 expirar no próximo ano, a queda na porcentagem pode não ser significativa com base no atual tendências.
Para minimizar o impacto desta mudança para os usuários finais, a Let's Encrypt ofereceu duas soluções. A primeira solução, dirigida a proprietários de sites, introduzirá uma alteração na API Let's Encrypt em janeiro do próximo ano para que "Os clientes ACME servirão, por padrão, uma cadeia de certificados que leva ao ISRG Root X1.No entanto, também será possível servir uma cadeia de certificados alternativa para o mesmo certificado que leva ao DST Root X3 e oferece compatibilidade mais ampla."
Para usuários finais que possuem um dispositivo executando uma versão mais antiga do Android, Let's Encrypt sugere a instalação do Firefox para contornar esse problema. Ao contrário dos aplicativos de navegador padrão, que dependem do sistema operacional para obter a lista de certificados raiz confiáveis, o Firefox vem com sua própria lista de certificados raiz confiáveis. A última versão do Firefox para Android inclui uma lista atualizada de autoridades de certificação confiáveis e permitirá que usuários com uma versão desatualizada do Android abram sites que possuem um certificado Let's Encrypt.
Preço: Grátis.
4.6.
Atualização 1: compatibilidade de dispositivos Android mais antigos estendida para certificados Let's Encrypt
Conforme anunciado hoje em uma postagem de blog, dispositivos Android mais antigos que executam versões do Android anteriores à 7.1.1 poderão visitar sites que usam Vamos criptografar os certificados após a expiração da parceria original de assinatura cruzada com a IdenTrust ano. Acontece que o Android não “aplica as datas de expiração dos certificados usados como âncoras de confiança”. Por causa disso, a IdenTrust emitiu um Contrato de assinatura cruzada de 3 anos para o certificado ISRG Root X1 da Let's Encrypt de seu DST Root CA X3, mesmo que este último expire em seguida ano. Como tal, não haverá impacto sobre os utilizadores com telefones Android mais antigos, evitando a potencial quebra de muitos websites nesses dispositivos.