Millóns de dispositivos Android non admitirán certificados Let's Encrypt en 2021

Imos cifrar (unha autoridade de certificación sen ánimo de lucro controlada pola comunidade que ofrece certificados gratuítos a todos) anunciou a próxima transición para xerar sinaturas usando só o seu certificado raíz, sen usar un certificado asinado cruzadamente pola autoridade certificadora de IdenTrust.

O certificado raíz Let's Encrypt é compatible con todos os navegadores modernos, pero só se recoñece a partir de Android 7.1.1, lanzado a finais de 2016.

O problema é que, segundo as estatísticas dispoñibles, só o 66,2% de todos os dispositivos Android usan Android 7.1 e versións máis recentes.

Polo tanto, o 33,8% dos dispositivos Android en uso non teñen datos no certificado raíz Let's Encrypt e, unha vez que caduca o certificado asinado cruzadamente, amosarase un erro ao tentar abrir sitios empregando certificados Let's Encrypt neses dispositivos. .

Estímase que a porcentaxe de usuarios de Android que non aceptan o certificado raíz Let's Encrypt é de entre o 1% e o 5% da audiencia dos sitios grandes.

Let's Encrypt non pretende concluír un novo acordo de sinatura cruzada, xa que isto impón unha gran responsabilidade adicional ás partes do acordo, prívaas da independencia e vincula as mans ao cumprimento de todos os procedementos e regras doutra autoridade certificadora.

Ademais, el Problema coa actualización de dispositivos Android antigos Probablemente non desaparecerá e o acordo cruzado terá que renovarse unha e outra vez.

A partir do 11 de xaneiro de 2021 faranse cambios na API Let's Encrypt e por defecto, os clientes ACME recibirán certificados ISRG Root X1 sen sinatura cruzada.

Os usuarios conscientes da compatibilidade terán a oportunidade de solicitar un certificado alternativo, autenticado mediante o antigo esquema de validación cruzada, pero estes certificados seguirán limitados pola vida útil do certificado raíz asinado cruzadamente (1 de setembro de 2021).

Como solución, Recoméndase aos usuarios de dispositivos Android máis antigos que cambien ao navegador Firefox, que ten o seu propio almacén de certificados raíz actualizado.

Pero Firefox non admite Android 4.x (aproximadamente o 2% dos dispositivos Android activos) e só pode funcionar con Android 5.0 ou posterior.

Recoméndase aos propietarios de sitios que non estean dispostos a aceptar a perda de compatibilidade con teléfonos Android antigos que procesen as solicitudes de dispositivos Android antigos a través de HTTP ou que cambien a unha CA compatible con versións anteriores de Android.

Velaquí como anunciou Let's Encrypt:

"O certificado raíz DST Root X3 que confiamos en iniciar caducará o 1 de setembro de 2021. Afortunadamente, estamos preparados para levantarnos e confiar unicamente no noso propio certificado raíz."

Non obstante, este cambio completo no propio certificado Let's Encrypt non terá consecuencias.

"Algún software que non se actualizou desde 2016 (cando moitos programas root aceptaron a nosa raíz) aínda non confían no noso certificado raíz, ISRG Root X1", explicou Jacob Hoffman-Andrews (desenvolvedor principal en Let's Encrypt e tecnólogo superior en Electronic Frontier Foundation) nun aviso.

“Isto inclúe en particular versións de Android anteriores á versión 7.1.1. Isto significa que estas versións anteriores de Android deixarán de confiar nos certificados emitidos por Let's Encrypt ”.

"Para o navegador integrado nun teléfono Android, a lista de certificados raíz de confianza provén do sistema operativo, que está obsoleto nestes teléfonos máis antigos. Non obstante, Firefox é actualmente único entre os navegadores: inclúe a súa propia lista de certificados raíz de confianza. Así, calquera que instale a última versión de Firefox benefíciase dunha lista actualizada de autoridades de certificación de confianza, aínda que o seu sistema operativo estea obsoleto ", segundo Hoffman-Andrews.

O aviso tamén está dirixido a algúns propietarios de sitios web que reciben queixas dos usuarios para que poidan prepararse para o cambio. Let's Encrypt anímaos a implementar unha solución provisional (cambiar á cadea de certificados alternativa) para manter o seu sitio en funcionamento mentres avalían o que necesitan para unha solución a longo prazo. 

Fuente: https://letsencrypt.org


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.