33 % av Android-enhetene vil snart ikke kunne gjenkjenne Let's Encrypt-sertifikater
Let's Encrypt, en ikke-kommersiell sertifiseringsmyndighet kontrollert av fellesskapet og gir sertifikater gratis til alle, har annonsert den kommende overgangen til å generere signaturer med kun sitt eget rotsertifikat, uten å bruke et sertifikat krysssignert av IdenTrust-sertifiseringsmyndigheten. Det krysssignerte sertifikatet utløper 1. september 2021. Dette betyr at 33 % av Android-enhetene slutter å gjenkjenne Let's Encrypt-sertifikater.
Let's Encrypt-rotsertifikatet støttes i alle moderne nettlesere, men anerkjennes først fra Android 7.1.1, utgitt sent i 2016. Imidlertid, ifølge tilgjengelig statistikk, brukes Android 7.1 og nyere utgivelser av bare 66,2 % av alle Android-enheter. Dermed har 33,8 % av aktive Android-enheter ikke Let's Encrypt-rotsertifikatet installert. Etter at det krysssignerte sertifikatet utløper, vises en feilmelding når du prøver å åpne nettsteder med Let's Encrypt-sertifikater på slike enheter. Andelen Android-enheter som bruker det krysssignerte sertifikatet er grovt anslått til å være 1 til 5 % av publikummet på store nettsteder.
Let's Encrypt har ikke til hensikt å danne en ny krysssignaturavtale.
Det er en stor risiko for en CA å krysssignere et annet CAs sertifikat, siden de blir ansvarlige for alt CA gjør. Det betyr også at mottakeren av krysssignaturen må følge alle prosedyrene fastsatt av den krysssignerende CA. Det er viktig for oss å kunne stå på egen hånd. Android-oppdateringsproblemet ser heller ikke ut til å forsvinne. Hvis vi forplikter oss til å støtte gamle Android-versjoner, vil vi forplikte oss til å søke krysssignaturer fra andre CAer på ubestemt tid.
Fra og med 11. januar 2021 vil det bli gjort endringer i Let's Encrypt API. Som standard vil ACME-klienter få utstedt sertifikater sertifisert av ISRG Root X1 uten krysssignatur. Brukere som er interessert i kompatibilitet vil få muligheten til å be om et alternativt sertifikat sertifisert i henhold til det gamle kryssvalideringsordning, men slike sertifikater vil fortsatt være begrenset av levetiden til det krysssignerte rotsertifikatet (1. september, 2021).
Som en løsning oppfordres brukere av eldre Android-enheter til å bytte til nettleseren Firefox, som har sin egen oppdaterte rotsertifikatbutikk. Men Firefox støtter ikke Android 4.x (omtrent 2 % av aktive Android-enheter) og kan bare kjøre på Android 5.0 eller nyere. Nettstedseiere som ikke er klare til å akseptere tap av kompatibilitet med gamle Android-smarttelefoner, oppfordres til å gjøre det behandle forespørsler fra eldre Android-enheter via HTTP eller bytt til å bruke en CA som støttes i eldre versjoner av Android.