33% Android ierīču drīzumā nevarēs atpazīt Let's Encrypt sertifikātus
Let's Encrypt, nekomerciāla sertifikācijas iestāde, kuru kontrolē kopiena un kas nodrošina sertifikātus bez maksas ikvienam, ir paziņoja gaidāmā pāreja uz parakstu ģenerēšanu, izmantojot tikai savu saknes sertifikātu, neizmantojot sertifikātu, ko parakstījusi IdenTrust sertifikācijas iestāde. Parakstītā sertifikāta derīguma termiņš beidzas 2021. gada 1. septembrī. Tas nozīmē, ka 33% Android ierīču pārtrauks atpazīt Let's Encrypt sertifikātus.
Saknes sertifikāts Let's Encrypt tiek atbalstīts visās mūsdienu pārlūkprogrammās, taču tas tiek atpazīts tikai operētājsistēmā Android 7.1.1, kas tika izlaista 2016. gada beigās. Tomēr saskaņā ar pieejamo statistiku Android 7.1 un jaunākas versijas izmanto tikai 66,2% no visām Android ierīcēm. Tādējādi 33,8% aktīvo Android ierīču nav instalēts saknes sertifikāts Let's Encrypt. Mēģinot šādās ierīcēs atvērt vietnes, izmantojot Let's Encrypt sertifikātus, pēc savstarpējā paraksta sertifikāta derīguma termiņa beigām tiks parādīta kļūda. Tiek lēsts, ka Android ierīču daļa, kas izmanto šo savstarpēji parakstīto sertifikātu, ir 1–5% no lielo vietņu auditorijas.
Let's Encrypt neplāno veidot jaunu savstarpēju parakstu līgumu.
CA ir liels risks šķērsot cita CA sertifikātu, jo tā kļūst atbildīga par visu, ko dara CA. Tas arī nozīmē, ka savstarpējā paraksta saņēmējam ir jāievēro visas procedūras, ko noteikusi savstarpēja paraksta CA. Mums ir svarīgi, lai mēs spētu pastāvēt paši. Tāpat šķiet, ka Android atjaunināšanas problēma nepazūd. Ja mēs apņemamies atbalstīt vecās Android versijas, mēs apņemtos uz nenoteiktu laiku meklēt savstarpējus parakstus no citām CA.
Sākot ar 2021. gada 11. janvāri, API Let's Encrypt tiks veiktas izmaiņas. Pēc noklusējuma ACME klientiem tiks izsniegti ISRG Root X1 sertificēti sertifikāti bez savstarpēja paraksta. Lietotājiem, kurus interesē saderība, tiks dota iespēja pieprasīt alternatīvu sertifikātu, kas sertificēts atbilstoši vecajam savstarpējās validācijas shēma, taču šādus sertifikātus joprojām ierobežos krusteniski parakstītā saknes sertifikāta darbības laiks (1. septembris, 2021).
Kā risinājums vecāku Android ierīču lietotāji tiek aicināti pārslēgties uz Firefox pārlūkprogrammu, kurai ir savs jaunākais saknes sertifikātu krātuvis. Taču Firefox neatbalsta operētājsistēmu Android 4.x (apmēram 2% aktīvo Android ierīču) un var darboties tikai operētājsistēmā Android 5.0 vai jaunākā versijā. Vietņu īpašnieki, kuri nav gatavi samierināties ar saderības zaudēšanu ar vecajiem Android viedtālruņiem, tiek aicināti to darīt apstrādājiet pieprasījumus no vecākām Android ierīcēm, izmantojot HTTP, vai pārslēdzieties uz CA izmantošanu, kas tiek atbalstīta vecākajās versijās Android.