Let's Encrypt SSL将不再适用于较旧的ANDROID设备


该项目刚刚宣布,到2021年9月1日,一些较旧的软件将停止信任其证书。

Let's Encrypt成立于2012年,于2014年上市,旨在提高网络安全性。该目标是通过提供对SSL和TLS证书的免费,自动访问来实现的,这将使网站无需花费任何资金即可切换到HTTPS。

该项目刚刚宣布,到2021年9月1日,一些较旧的软件将停止信任其证书。让我们看看为什么会发生这种情况,以及这意味着什么

证书过期

2016年初,Let's Encrypt首次公开发行时,他们发行了自己的根证书,名称为ISRG Root X1。但是,公司需要花一些时间在其软件中包含更新的根证书,因此直到最近,所有的“Let's Encrypt”证书都由IdenTrust证书DST Root X3交叉签名。该证书已经存在了很长的时间,并且已经得到大多数常规使用的操作系统和浏览器的支持。这让我们在等待大多数软件支持其自己的根证书的同时,让我们开始加密。

DST Root X3将于2021年9月1日到期,这迫在眉睫。当然,对于那些运行最新操作系统和浏览器的用户来说,没有什么大问题。但是对于那些自2016年左右以来尚未更新且不支持ISRG Root X1证书的平台,事情将会破裂。这会影响使用其证书的任何安全通信,无论是浏览启用HTTPS的网站还是通过SSL或SFTP建立连接。

该公司指出,最大的关注领域可能是Android手机市场。由于大多数电信网络都与手机制造商本身一起定制了Android软件,因此许多组织之间需要协调才能为Android手机发布OS更新。公司支持已经售出的电话的资金激励也很少。因此,由于网络或制造商只是忽略了工作,许多用户发现自己完全无法进行OS更新。

Let's Encrypt SSL将不再适用于较旧的ANDROID设备

DST Root X3将于明年9月1日到期时,使用7.1.1之前版本的Android用户将面临问题。根据最近的统计数据,这些用户约占Android用户群的三分之一-很大一部分。保守估计,整个Android用户约占智能手机总安装量的80%,全球范围内约有30亿智能手机用户,根据信封计算,我们发现约有7.5亿用户可能在未来出现问题年。

当然,解决方法是可能的。尽管Android操作系统(大概是Web浏览器)已经过时了,但是没有什么能阻止用户安装支持ISRG Root X1证书的较新软件。Firefox可以作为平台上的浏览器使用,并打包在其自己的受信任的根证书列表中,因此对于日常Web使用而言,这是一种有用的解决方法。对于开发人员而言,可以将ISRG Root X1作为受信任的证书包含在单个应用程序中,并且采用这种方法的人员正在进行讨论。毕竟,添加新的受信任证书只是将文件放入目录中,但是您需要具有root权限,这在锁定的Android手机上意味着越狱。

Let's Encrypt还可以从另一个证书颁发机构那里寻求交叉签名,就像它们开始时一样。但是,证书颁发机构对其签署的证书承担一些责任,并且另一个CA不太希望为Let's Encrypt承担这种负担。特别是,由于实体是非营利组织,因此几乎没有钱可赚。作为Internet向HTTPS加密规范过渡的主要支柱,Let's Encrypt将项目独立而不是依赖其他营利性组织是很重要的。考虑到他们的根证书现在得到了广泛认可,除了2016年及更早的这些极端案例之外,这似乎是一个明智的决定。

随着Internet上的安全性比以往任何时候都重要,这是一个不会消失的问题。为了与全球网络上的所有其他计算机配合使用,定期更新仅仅是开展业务的成本。拥有像Let's Encrypt这样的开放证书提供者的好处是,他们对问题的透明性和清晰的通信使Web主机,开发人员和最终用户有更多的时间来应对即将到来的更改。

Top