Många webbplatser kan potentiellt gå sönder på Android-enheter som kör versioner mindre än 7.1.1 nästa år på grund av ett utgående rotcertifikat.
Uppdatering 1 (12/22/2020 @ 01:01 AM ET): Let's Encrypt har hittat ett sätt för äldre Android-telefoner att fortsätta besöka webbplatser som använder deras certifikat nästa år. Den ursprungliga artikeln, som publicerades den 9 november 2020, finns bevarad nedan.
Fastän Projekt Treble har spelat en stor roll för att förbättra distributionen av de senaste versionerna av Android under de senaste åren, fragmentering är fortfarande en av de största bristerna av Androids ekosystem. En stor del av Android-enheter som för närvarande används kör föråldrade versioner av operativsystemet, och det kan leda till en mängd olika problem. Till exempel kan många webbplatser potentiellt gå sönder på äldre Android-enheter nästa år på grund av ett utgående rotcertifikat.
När Let's Encrypt, en ideell certifikatutfärdare som tillhandahåller gratis certifikat för TLS-kryptering, första gången lanserades för flera år sedan, korssignerade organisationen signaturer med
IdenTrusts DST Root X3-certifikat, ett rotcertifikat som har använts i flera år och som är betrodd av majoriteten av stora programvaruplattformar, inklusive Windows, iOS, Android, macOS och många Linux-distributioner. Hittills är miljontals webbdomäner skyddade med Let's Encrypt-certifikat, men som påpekats i en senaste blogginlägget från Let's Encrypt kommer DST Root X3-rotcertifikatet att upphöra att gälla den 1 september 2021.Let's Encrypts partnerskap med IdenTrust var nödvändigt för att de förstnämndas certifikat snabbt skulle kunna lita på befintliga enheter, men kl. samtidigt utfärdade organisationen sitt eget rotcertifikat (ISRG Root X1) och arbetade för att det skulle bli pålitligt av de flesta större operatörer system. Vissa program som inte har uppdaterats sedan 2016 kommer dock inte att lita på det nya rotcertifikatet, som inkluderar Android-enheter som kör versioner mindre än 7.1.1. Därför, när DST Root X3-rotcertifikatet löper ut nästa år, kommer många äldre Android-enheter inte längre att lita på certifikat utfärdat av Let's Encrypt och kommer därmed att få certifikatfel vid besök på webbplatser vars TLS-kryptering är signerad med en Let's Encrypt certifikat.
Enligt senaste Android distributionsstatistik kommer från Android Studio (visas nedan), 33,8 % av Android-enheterna i omlopp i april 2020 kör Android-versioner äldre än 7.1 Nougat. Detta representerar cirka 1-5 % av trafiken till webbplatser som har ett Let's Encrypt-certifikat. Medan andelen enheter som kör äldre Android OS-versioner utan tvekan kommer att minska med när sommartid Root X3 löper ut nästa år, kanske minskningen i procent inte är signifikant baserat på nuvarande trender.
För att minimera effekten av denna förändring för slutanvändare har Let's Encrypt erbjudit två lösningar. Den första lösningen, som riktar sig till webbplatsägare, kommer att införa en förändring av Let's Encrypt API i januari nästa år så att "ACME-klienter kommer som standard att betjäna en certifikatkedja som leder till ISRG Root X1.Men det kommer också att vara möjligt att betjäna en alternativ certifikatkedja för samma certifikat som leder till DST Root X3 och erbjuder bredare kompatibilitet."
För slutanvändare som har en enhet som kör en äldre version av Android, föreslår Let's Encrypt att du installerar Firefox för att kringgå det här problemet. Till skillnad från vanliga webbläsarappar, som förlitar sig på operativsystemet för listan över betrodda rotcertifikat, levereras Firefox med sin egen lista över betrodda rotcertifikat. Den senaste versionen av Firefox för Android innehåller en uppdaterad lista över betrodda certifikatutfärdare, och det kommer att tillåta användare med en föråldrad version av Android att öppna webbplatser som har ett Let's Encrypt-certifikat.
Pris: Gratis.
4.6.
Uppdatering 1: Kompatibilitet med äldre Android-enheter utökad för Let's Encrypt-certifikat
Som meddelats idag i ett blogginlägg, äldre Android-enheter som kör Android-versioner före 7.1.1 kommer att kunna besöka webbplatser som använder Låt oss kryptera certifikat efter att deras ursprungliga korssigneringspartnerskap med IdenTrust löper ut år. Det visar sig att Android inte "upprätthåller utgångsdatum för certifikat som används som förtroendeankare." På grund av detta har IdenTrust utfärdat en 3-årigt korssigneringsavtal för Let's Encrypts ISRG Root X1-certifikat från deras DST Root CA X3, även om det senare löper ut nästa gång år. Som sådan kommer det inte att påverka användare med äldre Android-telefoner, vilket undviker att många webbplatser på dessa enheter kan gå sönder.