Наступного року багато веб-сайтів потенційно можуть зламатися на пристроях Android із версіями, меншими за 7.1.1, через закінчення терміну дії кореневого сертифіката.
Оновлення 1 (12/22/2020 @ 01:01 ранку ET): Let's Encrypt знайшов спосіб, за допомогою якого старі телефони Android можуть продовжувати відвідувати сайти, які використовують їхні сертифікати, наступного року. Оригінал статті, опублікований 9 листопада 2020 року, зберігається нижче.
Хоча Проект Treble відіграла важливу роль у покращенні розповсюдження останніх версій Android за останні кілька років, фрагментація залишається одним із найбільших недоліків екосистеми Android. Величезна частина пристроїв Android, які зараз використовуються, працюють із застарілими версіями операційної системи, і це може призвести до різноманітних проблем. Наприклад, наступного року багато веб-сайтів потенційно можуть зламатися на старіших пристроях Android через закінчення терміну дії кореневого сертифіката.
Коли Let's Encrypt, некомерційний центр сертифікації, який надає безкоштовні сертифікати для шифрування TLS, уперше запущений кілька років тому, організація підписує перехресні підписи з
Співпраця Let's Encrypt з IdenTrust була необхідною для того, щоб існуючі пристрої швидко довіряли сертифікатам першого, але на водночас організація випустила власний кореневий сертифікат (ISRG Root X1) і працювала над тим, щоб йому довіряли більшість основних операційних системи. Однак деяке програмне забезпечення, яке не оновлювалося з 2016 року, не довіряє новому кореневому сертифікату, який включає пристрої Android із версіями менше 7.1.1. Тому, коли термін дії кореневого сертифіката DST Root X3 закінчиться наступного року, багато старіших пристроїв Android більше не довірятимуть сертифікатам виданий Let's Encrypt і, отже, отримуватиме помилки сертифіката під час відвідування веб-сайтів, шифрування TLS яких підписане Let's Encrypt сертифікат.
Відповідно до остання статистика розповсюдження Android на основі Android Studio (показано нижче), станом на квітень 2020 року 33,8% пристроїв Android у розповсюдженні працюють із версіями Android, старішими за 7.1 Nougat. Це приблизно 1-5% трафіку на веб-сайти, які мають сертифікат Let's Encrypt. У той час як відсоток пристроїв зі старими версіями ОС Android, безсумнівно, зменшиться Коли термін дії DST Root X3 закінчується наступного року, падіння у відсотках може бути незначним на основі поточних даних тенденції.
Щоб мінімізувати вплив цієї зміни на кінцевих користувачів, Let's Encrypt запропонувала два рішення. Перше рішення, спрямоване на власників веб-сайтів, внесе зміни в Let's Encrypt API у січні наступного року, щоб «Клієнти ACME за замовчуванням обслуговуватимуть ланцюжок сертифікатів, який веде до ISRG Root X1.Однак також можна буде обслуговувати альтернативний ланцюжок сертифікатів для того самого сертифіката, який веде до DST Root X3 і пропонує ширшу сумісність».
Для кінцевих користувачів, які мають пристрій зі старішою версією Android, Let's Encrypt пропонує встановити Firefox, щоб обійти цю проблему. На відміну від стандартних програм браузера, які покладаються на операційну систему для списку надійних кореневих сертифікатів, Firefox поставляється з власним списком надійних кореневих сертифікатів. Остання версія Firefox для Android включає в себе оновлений список надійних центрів сертифікації, і це дозволить користувачам із застарілою версією Android відкривати веб-сайти, які мають сертифікат Let's Encrypt.
Ціна: безкоштовно.
4.6.
Оновлення 1: Розширено сумісність старіших пристроїв Android для сертифікатів Let's Encrypt
Як було оголошено сьогодні у дописі в блозі, старіші пристрої Android із версіями Android до 7.1.1 зможуть відвідувати сайти, які використовують Let's Encrypt сертифікати після того, як закінчиться їх первісне партнерство з IdenTrust рік. Виявляється, Android не «забезпечує терміни дії сертифікатів, які використовуються як прив’язки довіри». Через це IdenTrust видав a 3-річна угода про перехресне підписання для сертифіката Let's Encrypt ISRG Root X1 від їх DST Root CA X3, навіть якщо термін дії останнього закінчиться наступного дня рік. Таким чином, це не матиме жодного впливу на користувачів старих телефонів Android, уникаючи потенційної поломки багатьох веб-сайтів на цих пристроях.