Многие веб-сайты потенциально могут не работать на устройствах Android с версиями ниже 7.1.1 в следующем году из-за истечения срока действия корневого сертификата.
Обновление 1 (12/22/2020 @ 01:01 утра ЕТ): Let's Encrypt нашел способ, с помощью которого старые телефоны Android смогут продолжать посещать сайты, использующие их сертификаты, в следующем году. Оригинал статьи, опубликованный 9 ноября 2020 г., сохранен ниже.
Хотя Проект Требл сыграл важную роль в улучшении распространения последних версий Android за последние несколько лет, фрагментация остается одним из самых больших недостатков экосистемы Android. Огромное количество используемых в настоящее время устройств Android работает на устаревших версиях операционной системы, и это может привести к множеству проблем. Например, многие веб-сайты потенциально могут сломаться на старых устройствах Android в следующем году из-за истечения срока действия корневого сертификата.
Когда Let's Encrypt, некоммерческий центр сертификации, предоставляющий бесплатные сертификаты для шифрования TLS, впервые был запущен несколько лет назад, организация подписывала подписи с
Корневой сертификат X3 DST от IdenTrust, корневой сертификат, который используется уже много лет и которому доверяет большинство основных программных платформ, включая Windows, iOS, Android, macOS и многие дистрибутивы Linux. На сегодняшний день миллионы веб-доменов защищены сертификатами Let's Encrypt, но, как указано в недавняя запись в блоге от Let's Encrypt, срок действия корневого сертификата DST Root X3 истечет 1 сентября 2021 г.Партнерство Let's Encrypt с IdenTrust было необходимо для того, чтобы существующие устройства быстро стали доверять сертификатам первой, но в В то же время организация выпустила собственный корневой сертификат (ISRG Root X1) и работала над тем, чтобы ему доверяли большинство крупных операторов. системы. Однако некоторое программное обеспечение, которое не обновлялось с 2016 года, не будет доверять новому корневому сертификату, включая устройства Android, работающие под управлением версий. менее 7.1.1. Поэтому, когда в следующем году истечет срок действия корневого сертификата DST Root X3, многие старые устройства Android больше не будут доверять сертификатам. выдан Let's Encrypt и, таким образом, будет получать ошибки сертификата при посещении веб-сайтов, чье шифрование TLS подписано Let's Encrypt. сертификат.
Согласно последняя статистика распространения Android созданный на основе Android Studio (показано ниже), 33,8% устройств Android, находящихся в обращении по состоянию на апрель 2020 года, используют версии Android старше 7.1 Nougat. Это составляет около 1–5% трафика на веб-сайты, имеющие сертификат Let's Encrypt. Хотя процент устройств под управлением старых версий ОС Android, несомненно, снизится с каждым годом. Когда в следующем году истечет срок действия DST Root X3, процентное снижение может быть незначительным, исходя из текущих тенденции.
Чтобы свести к минимуму влияние этого изменения на конечных пользователей, Let's Encrypt предложила два решения. Первое решение, предназначенное для владельцев веб-сайтов, в январе следующего года внесет изменение в API Let's Encrypt, чтобы «Клиенты ACME по умолчанию обслуживают цепочку сертификатов, ведущую к корню ISRG X1.Однако также можно будет использовать альтернативную цепочку сертификатов для того же сертификата, которая ведет к DST Root X3 и обеспечивает более широкую совместимость».
Конечным пользователям, у которых есть устройства под управлением более старой версии Android, Let's Encrypt предлагает установить Firefox, чтобы обойти эту проблему. В отличие от стандартных браузерных приложений, список доверенных корневых сертификатов которых зависит от операционной системы, Firefox поставляется с собственным списком доверенных корневых сертификатов. Последняя версия Фаерфокс для Андроид включает актуальный список доверенных центров сертификации и позволит пользователям устаревшей версии Android открывать веб-сайты, имеющие сертификат Let's Encrypt.
Цена: Бесплатно.
4.6.
Обновление 1: расширена совместимость старых устройств Android для сертификатов Let’s Encrypt
Как было объявлено сегодня в сообщении в блоге, старые устройства Android под управлением версий Android до 7.1.1 смогут посещать сайты, использующие Сертификаты Let's Encrypt после истечения срока действия первоначального партнерства с перекрестной подписью с IdenTrust год. Оказывается, Android «не обеспечивает соблюдения сроков действия сертификатов, используемых в качестве якорей доверия». В связи с этим IdenTrust выпустила Трехлетнее соглашение о перекрестной подписи для сертификата ISRG Root X1 Let's Encrypt от их корневого центра сертификации DST X3, хотя срок действия последнего истекает в следующий раз. год. Таким образом, это не повлияет на пользователей старых телефонов Android, что позволит избежать потенциальной поломки многих веб-сайтов на этих устройствах.