Telefon nieaktualizowany od 2016 roku? To wcale nie taka rzadkość. Wygasające certyfikaty mogły być problemem ale najwyraźniej Let’s Encrypt sobie z tym poradzi.

Na czym polega problem? Jeśli czytasz TeamQuesta regularnie, to już wiesz

Jeśli pamiętasz nasz nie tak dawny artykuł to wiesz, że od 11 stycznia 2020 roku Let's Encrypt będzie używać wyłącznie własnego certyfikatu do weryfikacji witryn. To może spowodować kłopoty z otwieraniem stron internetowych na starszych urządzeniach. A ponieważ certyfikaty od Let’s Encrypt są popularne (bo darmowe) to duża część ruch HTTPS może być dla takich urządzeń po prostu niedostępna.

Teraz wygląda na to, że przejście Let's Encrypt do samodzielnego urzędu certyfikacji (CA) nie będzie miało negatywnego wpływu na starsze telefony z Androidem. Problem z powodu wygaśnięcia certyfikatu głównego ma już swój workaround - Let's Encrypt wymyśliło obejście tego problemu.

Na początku podpięli się pod IdenTrust

Let's Encrypt to urząd certyfikacji, jeden z wiodących na świecie. Usługa była głównym graczem w dążeniu do tego, aby cała sieć działała przez HTTPS, a jako wolny, otwarty organ wydający certyfikaty przeszedł od zera certyfikatów do jednego miliarda certyfikatów w ciągu zaledwie czterech lat. Dla zwykłych użytkowników lista zaufanych urzędów certyfikacji jest zwykle wydawana przez system operacyjny lub dostawcę przeglądarki, więc każdy nowy urząd certyfikacji jest długo wdrażany, co wiąże się z dodaniem go do listy zaufanych urzędów certyfikacji przez każdy system operacyjny i przeglądarkę na Ziemi, a także otrzymaniem aktualizacji dla samego użytkownika. Aby szybko rozpocząć pracę, Let's Encrypt otrzymało podpis krzyżowy od znanego już wówczas urzędu certyfikacji, IdenTrust, dzięki czemu każda przeglądarka lub system operacyjny, który zaufał IdenTrust, mogła też zaufać Let's Encrypt.

Let’s Encrypt dorosło

Let's Encrypt ma już własny certyfikat główny („ISRG Root X1”) i większość głównych platform programowych zaakceptowała go w tym roku. Teraz, kilka lat później, wraz z wygaśnięciem certyfikatu „DST Root X3” firmy IdenTrust, Let's Encrypt zacznie działać samodzielnie i polegać na własnym certyfikacie głównym. No to chyba każdy obecnie używany system operacyjny obsługujący sieć WWW otrzymał aktualizację z certyfikatem Let's Encrypt, prawda?

Android kiwa głową, że nie. Tak jest, wciąż sporo osób korzysta z wersji Androida, która nie była aktualizowana od czterech lat. Let's Encrypt twierdzi, że został dodany do sklepu CA Androida w wersji 7.1.1 (wydanej w grudniu 2016 roku), A według oficjalnych statystyk Google 33,8% aktywnych użytkowników Androida korzysta ze starszej wersji. Biorąc pod uwagę 2,5 miliardową miesięczną bazę aktywnych użytkowników Androida, mamy 845 milionów ludzi, którzy za moment nie otworzą stron po HTTPS z certyfikatem od Let’s Encrypt.

Rozwiązanie

Wczoraj Let's Encrypt ogłosiło, że znalazło rozwiązanie, które pozwoli tym starym telefonom z Androidem nadal działać, a rozwiązaniem jest po prostu... nadal używać wygasłego certyfikatu od IdenTrust. Let's Encrypt ujmuje to tak:

IdenTrust zgodził się wydać trzyletni znak krzyżowy dla naszego ISRG Root X1 z ich DST Root CA X3. Nowy znak krzyżowy będzie nieco nowatorski, ponieważ wykracza poza datę wygaśnięcia DST Root CA X3. Takie rozwiązanie zadziała ponieważ Android nie wymusza dat wygaśnięcia kotwic zaufania czyli tzw. CA Root.

Sprawdź oferty pracy na TeamQuest

Nowy znak krzyżowy wygaśnie na początku 2024 roku i miejmy nadzieję, że wersje Androida z 2016 roku i wcześniejszych do tego czasu będą martwe. Dzisiaj przykładowa, przestarzała od ośmiu lat, baza instalacji Androida zaczyna się od wersji 4.2, która zajmuje 0,8 procent rynku.