Anem a encriptar (una autoritat de certificació sense fins de lucre controlada per la comunitat i que proporciona certificats gratuïts per a tothom) va anunciar la propera transició per generar firmes usant només el vostre certificat root, sense utilitzar un certificat amb signatura creuada per l'autoritat de certificació IdenTrust.
El certificat root Let's Encrypt és compatible amb tots els navegadors moderns, però només es reconeix a partir d'Android 7.1.1, llançat a finals del 2016.
El problema és que, segons les estadístiques disponibles, només el 66,2% de tots els dispositius Android utilitzen Android 7.1 i versions més recents.
Per tant, el 33,8% dels dispositius Android en ús no tenen dades al certificat root Let's Encrypt i una vegada expiri el certificat amb signatura creuada, es mostrarà un error en intentar obrir llocs utilitzant certificats Let's Encrypt en aquests dispositius .
El percentatge d'usuaris d'Android que no accepten el certificat root Let's Encrypt s'estima entre 1 i 5% de l'audiència dels llocs grans.
Let's Encrypt no té la intenció de concloure un nou acord de signatura creuada, ja que això imposa una gran responsabilitat addicional a les parts de l'acord, les priva d'independència i els lliga de les mans quant al compliment de tots els procediments i les regles d'una altra autoritat de certificació.
A més, il problema amb l'actualització dels dispositius Android antics probablement no desapareixerà i l'acord creuat haurà de renovar-se una vegada i una altra.
A partir de l'11 de gener de 2021, es realitzaran canvis a l'API Let's Encrypt i per defecte, els clients d'ACME rebran certificats per ISRG Root X1 sense signatura creuada.
Els usuaris preocupats per la compatibilitat tindran l'oportunitat de sol·licitar un certificat alternatiu, autenticat mitjançant l'antic esquema de validació creuada, però aquests certificats continuaran estant limitats per la vida útil del certificat arrel amb signatura creuada (1 de setembre del 2021).
Com a solució, es recomana als usuaris de dispositius Android més antics que canviïn al navegador Firefox, que té el propi magatzem de certificats arrel actualitzat.
Però el Firefox no és compatible amb Android 4.x (aproximadament el 2% dels dispositius Android actius) i només es pot executar en Android 5.0 o més recent.
Es recomana als propietaris de llocs que no estiguin disposats a acceptar la pèrdua de compatibilitat amb telèfons Android antics que processin les sol·licituds de dispositius Android més antics mitjançant HTTP o que canviïn a una CA compatible amb versions anteriors d'Android.
Així és com Let's Encrypt va anunciar:
“El certificat arrel DST Root X3 en què confiem per arrencar caducarà l'1 de setembre del 2021. Afortunadament, estem a punt per posar-nos drets i confiar únicament en el nostre propi certificat root”.
Tot i això, aquest canvi complet al mateix certificat de Let's Encrypt no estarà exempt de conseqüències.
“Alguns programari que no s'han actualitzat des del 2016 (aproximadament quan la nostra arrel va ser acceptada per molts programes arrel) encara no confien en el nostre certificat arrel, ISRG Root X1”, va explicar Jacob Hoffman-Andrews (desenvolupador sènior a Let's Encrypt i tecnòleg sènior a Electronic Frontier Foundation) en un avís.
Això inclou en particular versions d'Android anteriors a la versió 7.1.1. Això vol dir que aquestes versions antigues d'Android ja no confiaran en els certificats emesos per Let's Encrypt”.
“Per al navegador integrat dun telèfon Android, la llista de certificats arrel de confiança prové del sistema operatiu, que és obsolet en aquests telèfons més antics. No obstant això, Firefox és actualment únic entre els navegadors: ve amb la vostra pròpia llista de certificats arrel de confiança. Aleshores, qualsevol que instal·li l'última versió del Firefox es beneficia d'una llista actualitzada d'autoritats de certificació fiables, fins i tot si el sistema operatiu està desactualitzat”, segons Hoffman-Andrews.
L'avís també s'adreça a alguns propietaris de llocs web que reben queixes dels usuaris perquè puguin preparar-se per al canvi. Let's Encrypt els anima a implementar una solució provisional (canviar a la cadena de certificats alternativa) per mantenir el vostre lloc en funcionament mentre avaluen el que necessiten per a una solució a llarg termini.
font: https://letsencrypt.org