Сломанные замки сложены в углу.
Увеличить / На фото: альтернативное будущее для многих телефонов Android в 2021 году.

Яндекс

Какое-то время все было беспорядочно, но похоже, что Let’s Encrypt перешел на автономный центр сертификации (CA). не собирается сломать тонну старых телефонов Android. Раньше это было серьезной проблемой из-за истекающего корневого сертификата, но Let’s Encrypt придумал обходной путь.

Let’s Encrypt — довольно новый центр сертификации, но он также является одним из ведущих в мире. Служба сыграла важную роль в продвижении всего Интернета по HTTPS, и как бесплатный открытый орган выдачи сертификатов она перешла от нуля до миллиарда сертификатов всего за четыре года. Для обычных пользователей список доверенных центров сертификации обычно выдается вашей операционной системой или поставщиком браузера, поэтому любой новый центр сертификации имеет длительное развертывание, которое включает добавление в список доверенных центров сертификации каждой ОС и браузером на Земле, а также получение обновлений. самому пользователю. Чтобы быстро приступить к работе, Let’s Encrypt получил перекрестную подпись от установленного центра сертификации, IdenTrust, поэтому любой браузер или операционная система, которые доверяют IdenTrust, теперь могут доверять Let’s Encrypt, и служба может начать выдавать полезные сертификаты.

Когда он был запущен в 2016 году, Let’s Encrypt также выпустил свой собственный корневой сертификат («ISRG Root X1») и подал заявку на его доверие со стороны основных программных платформ, большинство из которых приняли его где-то в том же году. Теперь, несколько лет спустя, с сертификатом «DST Root X3» от IdenTrust, срок действия которого истекает в сентябре 2021 года, для Let’s Encrypt пришло время работать самостоятельно и полагаться на собственный корневой сертификат. Поскольку он был представлен четыре года назад, наверняка каждая используемая в настоящее время операционная система с веб-интерфейсом получила обновление с сертификатом Let’s Encrypt, верно?

Читайте также:
Анонсирован LG K42 с очень странным дизайном задней панели

Это верно для всех основных ОС, кроме один. В углу комнаты в тупой кепке сидит Android, единственная в мире крупная потребительская операционная система, которую создатель не может централизованно обновлять. Хотите верьте, хотите нет, но все еще довольно много людей используют версию Android, которая не обновлялась четыре года. Let’s Encrypt сообщает, что он был добавлен в магазин Android CA в версии 7.1.1 (выпущенной в декабре 2016 года), и, согласно официальной статистике Google, 33,8 процента активных пользователей Android используют более раннюю версию. Учитывая Android 2,5 миллиарда сильных ежемесячная активная база пользователей, это 845 миллионов человек, у которых в 2016 году было заморожено корневое хранилище. О нет.

Официальная статистика google по android.
Увеличить / Официальная статистика Google по Android.

Рон Амадео

В сообщении в блоге Ранее в этом году, Let’s Encrypt забил тревогу, что это может стать проблемой, заявив: «Это довольно затруднительно. Мы стремимся к тому, чтобы все на планете имели безопасную и конфиденциальную связь. И мы знаем, что люди, наиболее затронутые проблемой обновления Android, — это тем, кому мы больше всего хотим помочь — людям, которые, возможно, не смогут покупать новый телефон каждые четыре года. К сожалению, мы не ожидаем, что количество пользователей Android изменится значительно раньше [the cross-signature] истечение срока. Повышая осведомленность об этом изменении сейчас, мы надеемся помочь нашему сообществу найти лучший путь вперед ».

Читайте также:
Apple готова удивить

Сертификат с истекшим сроком действия приведет к поломке приложений и браузеров, которые полагаются на хранилище ЦС системы Android для проверки своих зашифрованных соединений. Отдельные разработчики приложений могли переключиться на рабочий сертификат, а опытные пользователи могли бы установить Firefox (который предоставляет собственное хранилище CA). Но многие службы все равно не работают.

Вчерашний день, Анонсирован Let’s Encrypt он нашел решение, которое позволит этим старым телефонам Android продолжать работать, и решение состоит в том, чтобы просто … продолжать использовать просроченный сертификат от IdenTrust? Let’s Encrypt заявляет: «IdenTrust согласился выпустить трехлетний перекрестный знак для нашего корня ISRG X1 из их корневого центра сертификации DST X3. Новый перекрестный знак будет несколько новаторским, поскольку он действует после истечения срока действия корневого центра сертификации DST X3. решение работает, потому что Android намеренно не обеспечивает соблюдение сроков истечения срока действия сертификатов, используемых в качестве якорей доверия. ISRG и IdenTrust обратились к нашим аудиторам и корневым программам, чтобы проверить этот план и убедиться, что нет никаких проблем с соблюдением требований ».

Let’s Encrypt продолжает объяснять: «Срок действия самозаверяющего сертификата, который представляет собой пару ключей DST Root CA X3, истекает. Но корневые хранилища браузера и ОС не содержат сертификатов как таковых, они содержат« якоря доверия »и стандарты для проверки сертификаты позволяют реализациям выбирать, использовать ли поля в якорях доверия. Android намеренно решил не использовать поле notAfter якорей доверия. Так же, как наш ISRG Root X1 не был добавлен в старые доверенные хранилища Android, DST Root CA X3 не был удален. Таким образом, он может без каких-либо проблем выдавать перекрестный знак, срок действия которого выходит за пределы срока его собственного самоподписанного сертификата «.

Читайте также:
Coronavirus: приложение для Android, которое отслеживает эпидемию, скрывает вымогателей

Вскоре Let’s Encrypt начнет предоставлять подписчикам сертификаты ISRG Root X1 и DST Root CA X3, которые, по его словам, обеспечат «бесперебойное обслуживание всех пользователей и предотвратят потенциальную поломку, о которой мы беспокоимся».

Срок действия нового креста истекает в начале 2024 года, и с надеждой версии Android от 2016 года и ранее к тому времени будут мертвы. Сегодня ваш пример устаревшей за восемь лет установочной базы Android начинается с версии 4.2, которая занимает 0,8 процента рынка.