Let’s Encrypt heeft een oplossing gevonden voor het probleem dat oudere Android-smartphones vanwege een verlopen certificaat binnenkort sommige websites niet meer vertrouwen. Eindgebruikers hoeven hiervoor niets te doen.
Om het probleem van de problematische TLS-certificaten op te lossen, heeft Let’s Encrypt samen met IdenTrust afgesproken dat IdenTrust het ISRG Root X1-certificaat van Let’s Encrypt nog drie jaar ondertekent vanaf zijn DST Root CA X3-certificaat dat de oudere Android-telefoons geïnstalleerd staat.
Verloopdatum niet gehandhaafd
Deze workaround maakt gebruik van het feit dat Android de verloopdata van certificaten niet actief handhaaft. Ondanks dat het ISRG Root X1-certificaat op 1 september 2021 verloopt, kunnen de telefoons daardoor via de workaround alsnog verbinden met websites die met Let’s Encrypt versleuteld zijn.
Doordat er een extra stap aan de certificaatketen wordt toegevoegd, wordt het uitvoeren van TLS-handshakes iets minder efficiënt, maar Let’s Encrypt vindt de extra compatibiliteit de compromis waard. De samenwerking met IdenTrust duurt voor drie jaar. Dit betekent dat de oudere Android-telefoons in ieder geval tot begin 2024 het volledige internet kunnen blijven bereiken.
Android-versies voor 7.1.1
Let’s Encrypt luidde begin november de noodklok over de ondersteuning van oudere Android-telefoons. Toen de organisatie net begon, ging het een samenwerking met IdenTrust aan om snel ondersteuning voor zijn certificaten op te bouwen. Apparaten zonder Let’s Encrypt-certificaten konden daardoor alsnog verbinden met websites die via Let’s Encrypt versleuteld zijn.
Het certificaat dat daarvoor gebruikt wordt, genaamd DST Root CA X3, verloopt op 1 september 2021. Inmiddels hebben de meeste apparaten native ondersteuning gekregen voor Let’s Encrypt, maar sommige apparaten die al langere tijd niet geüpdatet zijn, zijn nog steeds afhankelijk van het IdenTrust-certificaat.
Google heeft ondersteuning voor Let’s Encrypt toegevoegd in Android-versie 7.1.1. Telefoons die een oudere Android-versie draaien, zouden vanaf het verlopen van het DST Root CA X3-certificaat niet meer kunnen verbinden met Let’s Encrypt-websites. Dit probleem is met de nieuwe workaround met ruim twee jaar opgeschort.
1 dag geleden
