Let's Encrypt (neprofitni certifikacijski organ pod nadzorom skupnosti, ki vsem ponuja brezplačna potrdila) napovedal naslednji prehod za ustvarjanje podpisov z uporabo samo vašega korenskega potrdila, ne da bi uporabljal potrdilo, ki ga je overjeno podpisal overitelj IdenTrust.
Korensko potrdilo Let's Encrypt združljiv je z vsemi sodobnimi brskalniki, vendar je prepoznan šele v Androidu 7.1.1, ki je izšel konec leta 2016.
Težava je v tem, da glede na razpoložljive statistike le 66,2% vseh naprav Android uporablja Android 7.1 in novejše različice.
Zato 33,8% uporabljenih naprav Android nima podatkov v korenskem potrdilu Let's Encrypt in ko poteče navzkrižno podpisano potrdilo, se pri poskusu odpiranja spletnih mest s potrdili Let's Encrypt na teh napravah prikaže napaka. .
Odstotek uporabnikov Androidov, ki ne sprejmejo korenskega potrdila Let's Encrypt, naj bi bil med 1 in 5% občinstva za velika spletna mesta.
Let's Encrypt ne namerava skleniti novega sporazuma o navzkrižnem podpisu, saj to nalaga strankam sporazuma veliko dodatno odgovornost, jim odvzema neodvisnost in si veže roke pri spoštovanju vseh postopkov in pravil drugega organa za potrjevanje.
Poleg tega pa šel Težava pri posodabljanju starih naprav Android Verjetno ne bo izginil in navzkrižni sporazum bo treba vedno znova obnavljati.
Od 11. januarja 2021 bodo spremembe API-ja Let's Encrypt spremenjene privzeto pa bodo stranke ACME prejele certifikate ISRG Root X1 brez navzkrižnega podpisa.
Uporabniki, ki se zavedajo združljivosti, bodo lahko zahtevali nadomestno potrdilo, overjeno s staro shemo navzkrižne potrditve, vendar bodo takšna potrdila še naprej omejena v življenjski dobi navzkrižno podpisanega korenskega potrdila (1. september 2021).
Kot rešitev, Starejšim uporabnikom naprav Android svetujemo, da preklopijo na brskalnik Firefox, ki ima lastno posodobljeno shrambo korenskih potrdil.
Toda Firefox ne podpira Androida 4.x (približno 2% aktivnih naprav Android) in lahko deluje le v Androidu 5.0 ali novejšem.
Lastnikom spletnih mest, ki ne želijo sprejeti izgube združljivosti s starejšimi telefoni Android, svetujemo, naj zahteve iz starejših naprav Android obdelajo prek HTTP ali preklopijo na CA, ki je združljiv s starejšimi različicami Androida.
Evo, kako je objavilo Let's Encrypt:
"Korensko potrdilo DST Root X3, za katerega verjamemo, da ga zažene, poteče 1. septembra 2021. Na srečo smo pripravljeni vstati in se zanašati samo na lastno korensko potrdilo."
Vendar popolna sprememba samega potrdila Let's Encrypt ne bo brez posledic.
"Nekatera programska oprema, ki od leta 2016 ni bila posodobljena (približno takrat, ko je naš korenski program sprejel naš korenski program), še vedno ne zaupa našemu korenskemu certifikatu, ISRG Root X1," je pojasnil Jacob Hoffman-Andrews (starejši razvijalec pri Let's Encrypt in višji tehnolog pri Electronic Frontier Foundation) v obvestilu.
»To vključuje zlasti različice Androida pred različico 7.1.1. To pomeni, da te stare različice Androida ne bodo več zaupale certifikatom, ki jih je izdal Let's Encrypt «.
»Za vgrajeni brskalnik v telefonu Android seznam zaupanja vrednih korenskih potrdil prihaja iz operacijskega sistema, ki je pri teh starejših telefonih zastarel. Vendar je Firefox trenutno edinstven med brskalniki: prihaja s svojim seznamom zaupanja vrednih korenskih potrdil. Torej, kdor namesti najnovejšo različico Firefoxa, ima na voljo posodobljen seznam zaupanja vrednih overiteljev, tudi če je njihov operacijski sistem zastarel, «pravi Hoffman-Andrews.
Obvestilo je namenjeno tudi nekaterim lastnikom spletnih mest, ki prejemajo pritožbe uporabnikov, da se lahko pripravijo na spremembo. Let's Encrypt jih spodbuja k uvedbi začasne rešitve (preklopite na nadomestno verigo potrdil), da bo njihovo spletno mesto delovalo, medtem ko bodo ocenjevali, kaj potrebujejo za dolgoročno rešitev.