33% ממכשירי האנדרואיד לא יוכלו בקרוב לזהות אישורי Let's Encrypt
Let's Encrypt, רשות אישורים לא מסחרית הנשלטת על ידי הקהילה ומספקת תעודות ללא תשלום לכולם, הכריז המעבר הקרוב ליצירת חתימות תוך שימוש רק באישור הבסיס שלו, מבלי להשתמש באישור בחתימה צולבת על ידי רשות האישורים של IdenTrust. תוקפו של התעודה החתומה יפוג ב-1 בספטמבר 2021. המשמעות היא ש-33% ממכשירי האנדרואיד יפסיקו לזהות תעודות Let's Encrypt.
תעודת השורש Let's Encrypt נתמכת בכל הדפדפנים המודרניים, אך מוכרת רק החל מ-Android 7.1.1, ששוחררה בסוף 2016. עם זאת, על פי הסטטיסטיקה הזמינה, אנדרואיד 7.1 וגרסאות חדשות יותר משמשות רק 66.2% מכלל מכשירי האנדרואיד. לפיכך, ל-33.8% ממכשירי האנדרואיד הפעילים אין אישור השורש של Let's Encrypt מותקן. לאחר פג תוקפו של התעודה עם חתימה צולבת, תוצג שגיאה בעת ניסיון לפתוח אתרים באמצעות אישורי Let's Encrypt במכשירים כאלה. חלקם של מכשירי אנדרואיד שמשתמשים בתעודה עם חתימה צולבת מוערך בערך ב-1 עד 5% מהקהל של אתרים גדולים.
פרסומת
Let's Encrypt לא מתכוון ליצור הסכם חתימה צולבת חדש.
זה סיכון גדול עבור CA לחתום על אישור CA אחר, מכיוון שהם הופכים להיות אחראים לכל מה ש-CA עושה. זה גם אומר שהמקבל של החתימה הצולבת צריך לבצע את כל הנהלים שנקבעו על ידי CA החתימה צולבת. חשוב לנו להיות מסוגלים לעמוד על שלנו. כמו כן, נראה כי בעיית עדכון אנדרואיד לא נעלמת. אם נתחייב לתמוך בגרסאות אנדרואיד ישנות, היינו מתחייבים לחפש חתימות צולבות מ-CAs אחרים ללא הגבלת זמן.
החל מ-11 בינואר 2021, יבוצעו שינויים ב-Let's Encrypt API. כברירת מחדל, ללקוחות ACME יונפקו אישורים מאושרים על ידי ISRG Root X1 ללא חתימה צולבת. למשתמשים המעוניינים בתאימות תינתן האפשרות לבקש תעודה חלופית מאושרת על פי הישן ערכת אימות צולב, אך אישורים כאלה עדיין יהיו מוגבלים על ידי משך החיים של תעודת השורש בחתימה צולבת (1 בספטמבר, 2021).
כפתרון, מומלץ למשתמשים במכשירי אנדרואיד ישנים לעבור לדפדפן Firefox, שיש לו חנות אישורי שורש עדכנית משלו. אבל פיירפוקס אינו תומך באנדרואיד 4.x (כ-2% ממכשירי האנדרואיד הפעילים) ויכול לפעול רק על אנדרואיד 5.0 ומעלה. בעלי אתרים שאינם מוכנים להשלים עם אובדן התאימות לסמארטפונים ישנים של אנדרואיד מוזמנים לעשות זאת לעבד בקשות ממכשירי אנדרואיד ישנים באמצעות HTTP או לעבור לשימוש ב-CA שנתמך בגרסאות ישנות יותר של דְמוּי אָדָם.