Mnoho webových stránok by sa mohlo budúci rok pokaziť na zariadeniach so systémom Android s verziami nižšími ako 7.1.1 z dôvodu vypršania platnosti koreňového certifikátu.
Aktualizácia 1 (12/22/2020 @ 01:01 AM ET): Let's Encrypt našiel spôsob, ako môžu staršie telefóny s Androidom v budúcom roku naďalej navštevovať stránky, ktoré používajú ich certifikáty. Pôvodný článok zverejnený 9. novembra 2020 je zachovaný nižšie.
Hoci Projekt Treble zohrala hlavnú úlohu pri zlepšovaní distribúcie najnovších verzií Androidu za posledných pár rokov, fragmentácii zostáva jedným z najväčších nedostatkov ekosystému Android. Veľká časť zariadení so systémom Android, ktoré sa v súčasnosti používajú, má zastarané verzie operačného systému, čo môže viesť k rôznym problémom. Napríklad mnohé webové stránky by sa mohli budúci rok na starších zariadeniach s Androidom pokaziť z dôvodu vypršania platnosti koreňového certifikátu.
Keď spoločnosť Let's Encrypt, nezisková certifikačná autorita, ktorá poskytuje bezplatné certifikáty na šifrovanie TLS, prvýkrát spustila pred niekoľkými rokmi, organizácia podpísala krížové podpisy
Certifikát DST Root X3 spoločnosti IdenTrust, koreňový certifikát, ktorý sa používa už roky a ktorému dôveruje väčšina hlavných softvérových platforiem vrátane Windows, iOS, Android, macOS a mnohých distribúcií Linuxu. K dnešnému dňu sú milióny webových domén chránené certifikátmi Let's Encrypt, ale ako je uvedené v a nedávny blogový príspevok z Let's Encrypt, platnosť koreňového certifikátu DST Root X3 vyprší 1. septembra 2021.Partnerstvo Let's Encrypt so spoločnosťou IdenTrust bolo nevyhnutné na to, aby certifikáty prvej skupiny mohli rýchlo dôverovať existujúcim zariadeniam, ale V tom istom čase organizácia vydala svoj vlastný koreňový certifikát (ISRG Root X1) a pracovala na tom, aby mu dôverovala väčšina hlavných prevádzkových systémov. Avšak niektorý softvér, ktorý nebol aktualizovaný od roku 2016, nebude dôverovať novému koreňovému certifikátu, ktorý zahŕňa zariadenia so systémom Android s verziami menej ako 7.1.1. Preto, keď v budúcom roku uplynie platnosť koreňového certifikátu DST Root X3, mnohé staršie zariadenia so systémom Android už nebudú certifikátom dôverovať vydaný spoločnosťou Let's Encrypt a pri návšteve webových stránok, ktorých šifrovanie TLS je podpísané pomocou Let's Encrypt, bude dostávať chyby certifikátu certifikát.
Podľa najnovšie štatistiky distribúcie Androidu odvodené od Android Studio (zobrazené nižšie), 33,8 % zariadení s Androidom v obehu od apríla 2020 používa verzie Android staršie ako 7.1 Nougat. To predstavuje približne 1 – 5 % návštevnosti webových stránok, ktoré majú certifikát Let's Encrypt. Zatiaľ čo percento zariadení so staršími verziami operačného systému Android sa nepochybne zníži čas vyprší DST Root X3 budúci rok, pokles v percentách nemusí byť významný na základe prúdu trendy.
Aby sa minimalizoval dopad tejto zmeny na koncových používateľov, Let's Encrypt ponúkol dve riešenia. Prvé riešenie, ktoré je zamerané na majiteľov webových stránok, zavedie v januári budúceho roka zmenu API Let's Encrypt tak, aby „Klienti ACME budú štandardne poskytovať reťazec certifikátov, ktorý vedie k ISRG Root X1.Bude však možné poskytnúť aj alternatívny reťazec certifikátov pre rovnaký certifikát, ktorý vedie k DST Root X3 a ponúka širšiu kompatibilitu."
Pre koncových používateľov, ktorí majú zariadenie so staršou verziou Androidu, Let's Encrypt navrhuje nainštalovať Firefox, aby sa tento problém obišiel. Na rozdiel od bežných aplikácií prehliadača, ktoré sa spoliehajú na operačný systém pre zoznam dôveryhodných koreňových certifikátov, Firefox sa dodáva s vlastným zoznamom dôveryhodných koreňových certifikátov. Najnovšia verzia Firefox pre Android obsahuje aktuálny zoznam dôveryhodných certifikačných autorít a umožní používateľom so zastaranou verziou Androidu otvárať webové stránky, ktoré majú certifikát Let's Encrypt.
Cena: zadarmo.
4.6.
Aktualizácia 1: Rozšírená kompatibilita starších zariadení so systémom Android pre Let's Encrypt Certificates
Ako bolo dnes oznámené v blogovom príspevku, staršie zariadenia so systémom Android s verziami Android staršími ako 7.1.1 budú môcť navštevovať stránky, ktoré používajú Certifikáty Let's Encrypt po vypršaní ich pôvodného partnerstva s krížovým podpisom s IdenTrust rok. Ukázalo sa, že Android „nevynucuje dátumy vypršania platnosti certifikátov používaných ako dôveryhodné kotvy“. Z tohto dôvodu IdenTrust vydal a 3-ročná dohoda o krížovom podpise pre certifikát ISRG Root X1 spoločnosti Let's Encrypt od ich DST Root CA X3, aj keď platnosť druhej uplynie najbližšie rok. Nebude to mať žiadny vplyv na používateľov so staršími telefónmi s Androidom, čím sa zabráni možnému poškodeniu mnohých webových stránok na týchto zariadeniach.