Multe site-uri web s-ar putea rupe pe dispozitivele Android care rulează versiuni mai mici de 7.1.1 anul viitor din cauza unui certificat rădăcină care expiră.
Actualizare 1 (12/22/2020 @ 01:01 AM ET): Let's Encrypt a găsit o modalitate prin care telefoanele Android mai vechi să continue să viziteze site-uri care își folosesc certificatele anul viitor. Articolul original, publicat pe 9 noiembrie 2020, este păstrat mai jos.
Cu toate că Proiect Treble a jucat un rol major în îmbunătățirea distribuției celor mai recente versiuni de Android în ultimii ani, fragmentarea rămâne unul dintre cele mai mari neajunsuri a ecosistemului Android. O mare parte din dispozitivele Android utilizate în prezent au versiuni învechite ale sistemului de operare, ceea ce poate duce la o varietate de probleme. De exemplu, multe site-uri web s-ar putea rupe pe dispozitivele Android mai vechi anul viitor din cauza unui certificat rădăcină care expiră.
Când Let's Encrypt, o autoritate de certificare non-profit care oferă certificate gratuite pentru criptarea TLS, a fost lansată pentru prima dată în urmă cu câțiva ani, organizația a semnat semnături încrucișate cu
Certificatul DST Root X3 al IdenTrust, un certificat rădăcină care a fost în uz de ani de zile și este de încredere de majoritatea platformelor software majore, inclusiv Windows, iOS, Android, macOS și multe distribuții Linux. Până în prezent, milioane de domenii web sunt protejate cu certificate Let's Encrypt, dar după cum sa subliniat într-un postare recentă pe blog de la Let's Encrypt, certificatul rădăcină DST Root X3 va expira pe 1 septembrie 2021.Parteneriatul Let's Encrypt cu IdenTrust a fost necesar pentru ca certificatele celui dintâi să fie rapid de încredere de către dispozitivele existente, dar la în același timp, organizația și-a eliberat propriul certificat rădăcină (ISRG Root X1) și a lucrat pentru ca acesta să fie de încredere de majoritatea operaționale majore. sisteme. Cu toate acestea, unele programe software care nu au fost actualizate din 2016 nu vor avea încredere în noul certificat rădăcină, care include dispozitive Android care rulează versiuni mai puțin de 7.1.1. Prin urmare, când certificatul rădăcină DST Root X3 expiră anul viitor, multe dispozitive Android mai vechi nu vor mai avea încredere în certificate emis de Let's Encrypt și, astfel, va primi erori de certificat la vizitarea site-urilor web a căror criptare TLS este semnată cu Let's Encrypt certificat.
In conformitate cu cele mai recente statistici de distribuție Android derivat din Android Studio (prezentat mai jos), 33,8% dintre dispozitivele Android aflate în circulație în aprilie 2020 rulează versiuni Android mai vechi de 7.1 Nougat. Aceasta reprezintă aproximativ 1-5% din traficul către site-uri web care au un certificat Let's Encrypt. În timp ce procentul de dispozitive care rulează versiuni mai vechi ale sistemului de operare Android va scădea fără îndoială cu când DST Root X3 expiră anul viitor, scăderea procentului poate să nu fie semnificativă în funcție de curent tendinte.
Pentru a minimiza impactul acestei schimbări pentru utilizatorii finali, Let's Encrypt a oferit două soluții. Prima soluție, care se adresează proprietarilor de site-uri web, va introduce o modificare a API-ului Let's Encrypt în ianuarie anul viitor, astfel încât „Clienții ACME vor servi, în mod implicit, un lanț de certificate care duce la ISRG Root X1.Cu toate acestea, va fi, de asemenea, posibil să se servească un lanț de certificate alternativ pentru același certificat care duce la DST Root X3 și oferă o compatibilitate mai largă.”
Pentru utilizatorii finali care au un dispozitiv care rulează o versiune mai veche de Android, Let's Encrypt sugerează instalarea Firefox pentru a evita această problemă. Spre deosebire de aplicațiile de browser stoc, care se bazează pe sistemul de operare pentru lista de certificate rădăcină de încredere, Firefox este livrat cu propria listă de certificate rădăcină de încredere. Cea mai recentă versiune a Firefox pentru Android include o listă actualizată a autorităților de certificare de încredere și va permite utilizatorilor cu o versiune învechită de Android să deschidă site-uri web care au un certificat Let's Encrypt.
Pret: Gratuit.
4.6.
Actualizare 1: Compatibilitatea dispozitivelor Android mai vechi a fost extinsă pentru certificatele Let's Encrypt
După cum a fost anunțat astăzi într-o postare pe blog, dispozitivele Android mai vechi care rulează versiuni Android anterioare versiunii 7.1.1 vor putea accesa site-uri care utilizează Let's Encrypt certificatele după expirarea parteneriatului lor inițial cu semne încrucișate cu IdenTrust an. Se pare că Android nu „pune în vigoare datele de expirare ale certificatelor utilizate ca ancore de încredere”. Din acest motiv, IdenTrust a emis un Acord de semnare încrucișată pe 3 ani pentru certificatul ISRG Root X1 al Let's Encrypt de la DST Root CA X3, chiar dacă acesta din urmă va expira în viitor an. Ca atare, nu va exista niciun impact asupra utilizatorilor cu telefoane Android mai vechi, evitând posibila spargere a multor site-uri web de pe acele dispozitive.