33 % naprav Android kmalu ne bo moglo prepoznati certifikatov Let's Encrypt
Let's Encrypt, nekomercialni certifikacijski organ, ki ga nadzoruje skupnost in zagotavlja certifikate brezplačno vsem, je napovedal prihajajoči prehod na generiranje podpisov z uporabo samo lastnega korenskega potrdila, brez uporabe potrdila, ki ga je navzkrižno podpisal certifikacijski organ IdenTrust. Navzkrižno podpisano potrdilo poteče 1. septembra 2021. To pomeni, da bo 33 % naprav Android prenehalo prepoznavati certifikate Let's Encrypt.
Korensko potrdilo Let's Encrypt je podprto v vseh sodobnih brskalnikih, vendar je priznano šele od Androida 7.1.1, ki je izšel konec leta 2016. Vendar pa glede na razpoložljivo statistiko Android 7.1 in novejše izdaje uporablja le 66,2 % vseh naprav Android. Tako 33,8 % aktivnih naprav Android nima nameščenega korenskega potrdila Let's Encrypt. Ko navzkrižno podpisano potrdilo poteče, se prikaže napaka, ko poskušate odpreti spletna mesta s potrdili Let's Encrypt na takšnih napravah. Delež naprav Android, ki uporabljajo to navzkrižno podpisano potrdilo, je približno ocenjen na 1 do 5 % občinstva velikih spletnih mest.
Oglas
Let's Encrypt ne namerava oblikovati nove pogodbe o navzkrižnem podpisu.
Za CA je veliko tveganje, da navzkrižno podpiše potrdilo drugega CA, saj postane odgovoren za vse, kar počne CA. To tudi pomeni, da mora prejemnik navzkrižnega podpisa upoštevati vse postopke, ki jih določi navzkrižno podpisovalna potrdila. Za nas je pomembno, da lahko stojimo sami. Prav tako se zdi, da težava s posodobitvijo Androida ne izgine. Če se zavežemo, da bomo podpirali stare različice Androida, bi se zavezali, da bomo za nedoločen čas iskali navzkrižne podpise drugih CA.
Od 11. januarja 2021 bodo spremenjeni API Let's Encrypt. Odjemalcem ACME bodo privzeto izdana potrdila, certificirana s strani ISRG Root X1, brez navzkrižnega podpisa. Uporabniki, ki jih zanima združljivost, bodo imeli možnost zahtevati nadomestni certifikat, certificiran po starem shemo navzkrižnega preverjanja, vendar bodo takšna potrdila še vedno omejena z življenjsko dobo navzkrižno podpisanega korenskega potrdila (1. september, 2021).
Kot rešitev priporočamo uporabnike starejših naprav Android, da preklopijo na brskalnik Firefox, ki ima lastno posodobljeno shrambo korenskih potrdil. Toda Firefox ne podpira Androida 4.x (približno 2 % aktivnih naprav Android) in lahko deluje samo v sistemu Android 5.0 ali novejšem. Spodbujamo lastnike spletnih mest, ki niso pripravljeni sprejeti izgube združljivosti s starimi pametnimi telefoni Android obdelajte zahteve iz starejših naprav Android prek HTTP ali preklopite na uporabo CA, ki je podprta v starejših različicah Android.
