Let’s Encrypt viene con una solución para los dispositivos Android abandonados

Las cosas se han ido y venido por un tiempo, pero Let’s Encrypt parece estar pasando a una Autoridad de Certificación Independiente (CA) No Romperá muchos teléfonos Android antiguos. Esta era una gran preocupación anteriormente debido a la expiración del certificado raíz, pero Let’s Encrypt encontró una solución.

Let’s Encrypt es un organismo de certificación bastante nuevo, pero también es uno de los líderes en el mundo. El servicio ha sido un actor importante en impulsar que toda la web se ejecute a través de HTTPS y, como autoridad de lanzamiento libre y abierta, ha pasado de certificación cero a mil millones de certificados en Solo cuatro años. Para los usuarios ocasionales, la lista de autoridades de certificación (CA) confiables generalmente la emite su sistema operativo o el proveedor del navegador, por lo que cualquier CA nueva que salga por mucho tiempo implica agregar a la lista de CA confiables para cada sistema operativo y navegador en la Tierra, además de obtener También en actualizaciones para el usuario. Para comenzar a funcionar rápidamente, Let’s Encrypt obtuvo una firma cruzada de una autoridad de certificación, IdenTrust, por lo que cualquier navegador o sistema operativo IdenTrust confiable ahora puede confiar en Let’s Encrypt, y el servicio puede comenzar a emitir certificados útiles.

Cuando se lanzó en 2016, Let’s Encrypt también lanzó su propio certificado raíz («ISRG Root X1») y solicitó que las principales plataformas de software confiaran en él, que la mayoría lo aceptaron en algún momento de ese año. Ahora, varios años después, con el certificado «DST Root X3» de IdenTrust que expira en septiembre de 2021, es hora de que Let’s Encrypt sea independiente y confíe en su certificado raíz. Desde que se introdujo hace cuatro años, casi todos los sistemas operativos con capacidad web que se utilizan actualmente han recibido una actualización con la certificación Let’s Encrypt, ¿verdad?

Esto es cierto en todos los sistemas operativos convencionales, excepto en Uno. Sentado en un rincón de la habitación, en un estúpido capó, Android, el único sistema operativo del mundo para grandes consumidores cuyo creador no puede actualizarlo de forma centralizada. Lo crea o no, mucha gente todavía usa una versión de Android que no se ha actualizado en cuatro años. Let’s Encrypt dice que se agregó a CA Store de Android en la versión 7.1.1 (lanzada en diciembre de 2016) y, según las estadísticas oficiales de Google, el 33.8 por ciento de los usuarios activos de Android están usando una versión anterior a esa. Mirando Android 2.5 mil millones fuerte La base de usuarios activos mensuales es de 845 millones de personas. El almacén raíz se congeló en 2016. Oh, no.

En una publicación de blog A principios de este año, Let’s Encrypt hizo sonar una alarma de que esto va a ser un problema, diciendo: «Es un gran problema. Estamos comprometidos con que todos en el planeta tengan comunicaciones seguras que respeten la privacidad. Sabemos que las personas más afectadas por este problema de actualización de Android son aquellas a las que más queremos ayudar, las personas que podrían No pueden permitirse comprar un teléfono nuevo cada cuatro años Desafortunadamente, no esperamos que los números de uso de Android cambien mucho antes [the cross-signature] Vencimiento. Al crear conciencia sobre este cambio ahora, esperamos ayudar a nuestra comunidad a encontrar el mejor camino a seguir ”.

Un certificado caducado puede hacer jailbreak a aplicaciones y navegadores que dependen de CA Store para Android para verificar sus conexiones cifradas. Los desarrolladores de aplicaciones individuales pueden cambiar a un certificado válido y los usuarios inteligentes pueden instalar Firefox (que proporciona su propia tienda CA). Pero muchos servicios permanecerán deshabilitados.

ayer, Declaremos cifrar Encontré una solución que permite que los teléfonos Android antiguos sigan funcionando, la solución es … ¿seguir usando el certificado caducado de IdenTrust? Let’s Encrypt dice: «IdenTrust acordó lanzar una etiqueta cruzada de 3 años para ISRG Root X1 de DST Root CA X3. La nueva etiqueta cruzada será bastante nueva, ya que se extiende más allá del vencimiento de DST Root CA X3. Esta solución funciona porque Android está apagado) Con la intención de no hacer cumplir las fechas de vencimiento de los certificados utilizados como validadores de confianza. ISRG e IdenTrust se han puesto en contacto con los auditores y el software raíz para revisar este plan y asegurarse de que no haya problemas de cumplimiento «.

Let’s Encrypt continuó explicando: «El certificado autofirmado que es el par de claves DST Root CA X3 caduca. Sin embargo, los almacenes raíz del navegador y del sistema operativo no contienen certificados per se, contienen» entidades de confianza «y criterios de verificación Los certificados permiten a los implementadores elegir si Los campos se habrían utilizado en entidades de confianza o no. Android ha optado deliberadamente por no utilizar el campo notAfter para los anclajes de confianza. Del mismo modo que ISRG Root X1 no se ha agregado a las tiendas confiables de Android más antiguas, DST Root CA X3 no se ha eliminado. Por lo tanto, puede emitir una etiqueta cruzada que extiende su validez. Hasta después de que su certificado autofirmado caduque sin ningún problema «.

Pronto, Let’s Encrypt comenzará a proporcionar a los suscriptores certificados ISRG Root X1 y DST Root CA X3, que asegurará «un servicio ininterrumpido para todos los usuarios y evitará la posible interrupción que nos preocupaba».

La nueva marca cruzada expirará a principios de 2024, y Ojalá Las versiones de Android de 2016 en adelante estarán muertas para entonces. Hoy, la base de instalación de Android que está desactualizada durante ocho años comienza con la versión 4.2, que ocupa el 0.8 por ciento del mercado.