Let's Encrypt propone una soluzione alternativa per i dispositivi Android abbandonati dal software

0
65

Ingrandisci / Immagine: un futuro alternativo per molti telefoni Android nel 2021.

Le cose sono andate avanti e indietro per un po ', ma sembra che la transizione di Let's Encrypt a un'autorità di certificazione (CA) autonoma non distruggerà un sacco di vecchi telefoni Android. Questa era una seria preoccupazione in precedenza a causa di un certificato radice in scadenza, ma Let's Encrypt ha trovato una soluzione alternativa.

Let's Encrypt è un'autorità di certificazione abbastanza nuova, ma è anche una delle principali al mondo. Il servizio è stato un attore importante nella spinta a far funzionare l'intero Web su HTTPS e, in quanto autorità di emissione libera e aperta, è passato da zero certificati a un miliardo di certificati in soli quattro anni. Per gli utenti regolari, l'elenco delle CA attendibili viene solitamente emesso dal sistema operativo o dal fornitore del browser, quindi qualsiasi nuova CA ha una lunga implementazione che comporta l'aggiunta all'elenco delle CA attendibili da ogni sistema operativo e browser sulla Terra, nonché la ricezione degli aggiornamenti a ogni utente. Per essere subito operativo, Let's Encrypt ha ottenuto una firma incrociata da una CA consolidata, IdenTrust, quindi qualsiasi browser o sistema operativo fidato di IdenTrust potrebbe ora fidarsi di Let's Encrypt e il servizio potrebbe iniziare a rilasciare certificati utili.

Quando è stato lanciato nel 2016, Let's Encrypt ha anche emesso il proprio certificato di root ("ISRG Root X1") e ha richiesto che fosse considerato affidabile dalle principali piattaforme software, la maggior parte delle quali lo ha accettato in quell'anno. Ora, diversi anni dopo, con il certificato "DST Root X3" di IdenTrust che scadrà a settembre 2021, è giunto il momento per Let's Encrypt di stare in piedi da solo e fare affidamento sul proprio certificato di root. Poiché è stato inviato quattro anni fa, sicuramente ogni sistema operativo Web attualmente in uso ha ricevuto un aggiornamento con il certificato di Let's Encrypt, giusto?

Questo è vero per tutti i sistemi operativi tradizionali tranne uno. Seduto in un angolo della stanza, con indosso un berretto da somaro, c'è Android, l'unico grande sistema operativo consumer al mondo che non può essere aggiornato centralmente dal suo creatore. Che tu ci creda o no, ci sono ancora molte persone che eseguono una versione di Android che non è stata aggiornata da quattro anni. Let's Encrypt afferma che è stato aggiunto al negozio CA di Android nella versione 7.1.1 (rilasciata a dicembre 2016) e, secondo le statistiche ufficiali di Google, il 33,8% degli utenti Android attivi utilizza una versione precedente a quella. Dati i 2,5 miliardi di utenti attivi mensili di Android, si tratta di 845 milioni di persone che hanno un root store bloccato nel 2016. Oh no.

Annuncio pubblicitario

Ingrandisci / Statistiche Android ufficiali di Google.

Ron Amadeo

In un post sul blog all'inizio di quest'anno, Let's Encrypt ha lanciato l'allarme che si sarebbe trattato di un problema, dicendo: "È piuttosto complicato. Ci impegniamo affinché tutti sul pianeta abbiano comunicazioni sicure e rispettose della privacy. E sappiamo che le persone i più colpiti dal problema dell'aggiornamento di Android sono quelli che desideriamo aiutare di più: le persone che potrebbero non essere in grado di acquistare un nuovo telefono ogni quattro anni. Sfortunatamente, non ci aspettiamo che i numeri di utilizzo di Android cambino molto prima del [the cross-signature] scadenza. Aumentando la consapevolezza di questo cambiamento ora, speriamo di aiutare la nostra comunità a trovare la strada migliore da seguire ".

Un certificato scaduto avrebbe danneggiato app e browser che si basano sull'archivio CA di sistema di Android per verificare le connessioni crittografate. I singoli sviluppatori di app avrebbero potuto passare a un certificato funzionante e gli utenti esperti avrebbero potuto installare Firefox (che fornisce il proprio negozio CA). Ma molti servizi sarebbero comunque interrotti.

Ieri Let's Encrypt ha annunciato di aver trovato una soluzione che consentirà a quei vecchi telefoni Android di continuare a funzionare, e la soluzione è semplicemente … continuare a utilizzare il certificato scaduto di IdenTrust? Let's Encrypt dice "IdenTrust ha accettato di emettere un segno di croce di 3 anni per il nostro ISRG Root X1 dal loro DST Root CA X3. Il nuovo segno di croce sarà in qualche modo nuovo perché si estende oltre la scadenza di DST Root CA X3. Questo La soluzione funziona perché Android non applica intenzionalmente le date di scadenza dei certificati utilizzati come trust anchor. ISRG e IdenTrust hanno contattato i nostri revisori e i programmi di root per esaminare questo piano e garantire che non ci fossero problemi di conformità ".

Annuncio pubblicitario

Let's Encrypt prosegue spiegando: "Il certificato autofirmato che rappresenta la coppia di chiavi DST Root CA X3 sta scadendo. Ma i browser e i root store del sistema operativo non contengono certificati di per sé, contengono" trust anchor "e gli standard per la verifica i certificati consentono alle implementazioni di scegliere se utilizzare o meno i campi sui trust anchor. Android ha intenzionalmente scelto di non utilizzare il campo notAfter dei trust anchor. Così come il nostro ISRG Root X1 non è stato aggiunto ai vecchi trust store Android, DST Root CA X3 non è stato rimosso. Quindi può emettere un segno incrociato la cui validità si estende oltre la scadenza del proprio certificato autofirmato senza problemi. "

Presto Let's Encrypt inizierà a fornire agli abbonati sia i certificati ISRG Root X1 che DST Root CA X3, che assicureranno "un servizio ininterrotto a tutti gli utenti ed evitando le potenziali interruzioni di cui eravamo preoccupati".

Il nuovo segno di croce scadrà all'inizio del 2024 e, si spera, le versioni di Android del 2016 e precedenti saranno morte per allora. Oggi, il tuo esempio di base di installazione obsoleta di otto anni di Android inizia con la versione 4.2, che occupa lo 0,8% del mercato.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui