Let’s Encrypt Android Alert
Nel 2021 milioni di siti web non saranno accessibili da una parte di smartphone Android.
Let’s Encrypt, una delle principali aziende che si occupa di certificazione di contenuti web a livello globale rilasciando certificati necessari per i contenuti in HTTPS, ha annunciato che a partire da settembre 2021 comincerà ad utilizzare il certificato di sicurezza ISRG Root X1 come root di tutti i suoi certificati.
Questo particolare certificato al suo rilascio nel 2016 è stato firmato utilizzando una tecnica di “cross-signature” con il certificato DST Root X3 che era già online e “trusted” da milioni di device. La “cross-signature” è una tecnica di certificazione in cui un certificato rilasciato da una CA(Certificate Authority) trusted viene firmato da un’altra CA, quindi la seconda Certificate Authority è responsabile della prima e viceversa. Questo permette che ci si possa fidare anche solo di una delle due CA.
Siccome il certificato DST Root X3 scadrà a settembre 2021, è stato deciso quindi di abbandonare la “cross-signature” in favore dell’utilizzo del solo certificato proprietario ISRG Root X1 che viene utilizzato ed è “trusted” ormai da anni. L’azienda si è posta il problema e prima di pensare di rimuovere direttamente il certificato (e con esso il supporto ai vecchi sistemi operativi) ha varato tra le opzione quella di utilizzare una nuova “cross-signature” con un altro certificato riconosciuto dai dispositivi android.
Dopo tutt’una serie di osservazioni l’azienda è arrivata alla conclusione che sarebbe abbastanza “sconveniente” utilizzare la suddetta tecnica, poiché, dato che il problema dell’aggiornamento dei dispositivi Android non andrà via, sarebbero costretti a fare sempre affidamento su altre CA. Poiché l’azienda vuole cominciare a “camminare sulle sue gambe” ha deciso quindi di abbandonare il vecchio certificato in favore del nuovo.
Questo introduce problemi di compatibilità, software non aggiornati dopo il 2016(circa) ancora non si fidano del loro certificato “root” suddetto. Di questa categoria fanno parte anche i dispositivi Android con una versione del sistema operativo inferiore ad Android 7.1.1, questo significa che le vecchie versioni di Android non si fideranno più dei certificati rilasciati da Let’s Encrypt.
Per le ragioni più svariate, spesso dettate dalla volontà del produttore, molti dispositivi Android non ricevono aggiornamenti e quindi sono bloccati a versioni ormai obsolete. Attualmente il 66.2% dei dispositivi Android ha come versione del sistema operativo Android 7.1 o superiore. Il rimanente 33.8% eventualmente comincerà ad avere “errori di certificati” quando l’utente andrà a visitare siti che hanno un certificato rilasciato da Let’s Encrypt. L’azienda ha stimato, insieme ai suoi principali clienti, che questa percentuale rappresenta tra l’1% e il 5% del loro traffico totale e verosimilmente andrà diminuendo fino a settembre 2021 con l’aggiornamento dei dispositivi.
Per chi ha una versione di Android obsoleta non c’è molto da fare, dato che il problema dipende dal sistema operativo. Una possibile soluzione è installare Firefox Mobile, che supporta Android 5.0 e superiore (al tempo della scrittura di questo articolo).
Perché installare Firefox potrebbe aiutare? Per un browser incorporato su un dispositivo Android come potrebbe essere Chrome, la lista dei certificati root di cui ci si può fidare viene presa dal sistema operativo – che non è aggiornata sui suddetti dispositivi. Comunque, Firefox al momento è “unico” tra i browsers, questo perché ha la sua lista interna di certificati di cui si può fidare che quindi non dipende dal dispositivo o dal sistema operativo. Dato che questa lista viene costantemente aggiornata, per aggirare il problema è sufficiente usare Firefox Mobile.
Non ci sono al momento altri “workaround” possibili che non implichino l’aggiornamento del device.
Il team relativo alla sicurezza sui dispositivi mobile diventa sempre più importante e suggeriamo sempre di usare la versione del sistema operativo o browser aggiornata.
Fonte: letsencrypt.org