Problémy s certifikáty potrápí v roce 2021 majitele starších Androidů

Pokud máte starší smartphone či tablet s operačním systémem Google Android a v příštím roce zaznamenáte problém s přístupem na některé zabezpečené weby, chyba pravděpodobně nebude na vaší straně. Certifikační autorita Let's Encrypt totiž chystá změny, které ovlivní funkčnost některých starších zařízení. A připravit by se na ně měli také administrátoři dotčených webů. O co se jedná? 1. září 2021 vyprší platnost kořenového certifikátu DST Root X3 a jeho prodloužení není v plánu.

 

Zatímco pro většinu platforem to nebude představovat žádný problém, přesto mohou majitele některých zařízení nepříjemně překvapit potíže s kompatibilitou – týká se to především Androidu 7.1.1 (Nougat) a staršího. Nougat nebo dokonce ještě starší verze tohoto operačního systému stále běží na více než třetině zařízení s Androidem a údajně tvoří 1 až 5 % provozu na webech. Autorita Let's Encrypt vytvořila (podle dat ze srpna 2019) certifikáty pro skoro třetinu webových domén. Protokol HTTPS se přitom stal standardem, který používá drtivá většina webových stránek.

 

 

Google, CC BY 3.0 , via Wikimedia Commons

 

Znamená to, že se majitelé uvedených telefonů od příštího roku nedostanou na značnou část internetových stránek? K něčemu takovému nejspíš opravdu dojde, i když v menším rozsahu. Uživatelé, kteří se nerozhodnou vyměnit zařízení za novější nebo nainstalovat aktualizaci OS (pokud by byla náhodou dostupná), mají ještě jednu možnost: nainstalovat si Firefox Mobile. Tento internetový prohlížeč dostupný pro Android 5.0 nebo novější totiž používá vlastní seznam důvěryhodných kořenových certifikátů. To je rozdíl proti výchozímu prohlížeči v Androidu, který spoléhá na certifikáty dodané s operačním systémem.

 

Patřičné kroky jsou ovšem doporučeny také pro administrátory webů. Pro zvýšení kompatibility Let's Encrypt nabídne alternativní řetězec certifikátů, který vede ke starému kořenovému certifikátu. Půjde o dočasné řešení, které umožní zobrazit banner pro uživatele starších verzí Androidu, aby si nainstalovali Firefox Mobile. Administrátoři ovšem mohou také zcela přestat podporovat starší verze Androidu, přejít zpět na HTTP na starších zařízeních nebo provést změnu na kompatibilní certifikační autoritu.

 

Certifikát DST Root X3 představoval pro Let's Encrypt pouze dočasné řešení. Jako nová certifikační autorita musela organizace požádat některou ze stávajících autorit – v tomto případě IdenTrust – o křížový podpis. Díky tomu nemusel Let's Encrypt čekat, než jeho certifikátu začnou důvěřovat jednotlivé platformy. V současné době autorita používá svůj vlastní kořenový certifikát ISRG Root X1.

 

Zdroj: Letsencrypt.org via Androidpolice.com